*pulgin/anchor.inc.php にスクリプト混入問題 [#vf07e885]

-ページ: BugTrack
-投稿者: [[kikuchi]]
-優先順位: 重要
-状態: 着手
-状態: 完了
-カテゴリー: プラグイン
-投稿日: 2003-06-19 (木) 21:30:13
-バージョン: 1.3.5

**メッセージ [#n385e872]
すでにCVS版ではファイルごと削除されていますが、anchor プラグインに、

 #"></a><SCRIPT>alert()</SCRIPT>

といった引数を渡すことで、ページ閲覧者のブラウザ上でScriptを実行できてしまうようです。(Win98 + IE6.0.2800.1106で確認)
とりあえず作成したパッチを添付します。
----
- cvsに投入しました。 [[cvs:plugin/anchor.inc.php]](v1.3:r1.3.2.1) -- [[ぱんだ]] &new{2003-06-22 (日) 14:44:41};

#comment
トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Site admin: PukiWiki Development Team

PukiWiki 1.5.4+ © 2001-2022 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u12. HTML convert time: 0.048 sec.

OSDN