*edit_form() に XSS 脆弱性 [#v8dc559c]

-ページ: BugTrack
-投稿者: [[masao]]
-優先順位: 重要
-状態: 提案
-状態: 完了
-カテゴリー: 本体バグ
-投稿日: 2004-04-22 (木) 15:16:02
-バージョン: 
-バージョン: 1.4.3

**メッセージ [#n3c59d17]
$vars['cmd'] で渡した引数をそのまま出力している箇所があります。
以下のようなURL呼び出しで再現するようです。

http://pukiwiki.sourceforge.jp/dev/?plugin=edit&cmd=%22%3E%3Cs%3Etest%3C/s%3E&page=FrontPage
----
-お知らせいただきありがとうございます。[[BugTrack/570]] に由来していた様です。入力チェックを厳密にすることと、BugTrack/570の変更を(結果的に)差し戻すことで対応しました。(See [[開発日記/2004-06-27]] for detail) -- [[henoheno]] &new{2004-06-27 (日) 21:08:40};
-[[開発日記/2004-06-28]] にて、入力チェックを追加しました。 -- [[henoheno]] &new{2004-06-28 (月) 21:19:51};
-ところで、 ?plugin=edit&page=FrontPage とした場合、「の表示」と表示されてしまいますが、これは想定外の呼び出しなんでしょうか・・・ -- [[henoheno]] &new{2004-06-28 (月) 21:28:30};
- [[official:質問箱3/112]] READONLYの時にcommentだけ許可したい --  &new{2005-11-12 (土) 14:55:56};
-- [[開発日記/2005-11-12]] --  &new{2009-09-02 (水) 22:48:06};

#comment
//#comment


トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Site admin: PukiWiki Development Team

PukiWiki 1.5.4+ © 2001-2022 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u12. HTML convert time: 0.078 sec.

OSDN