*XSS脆弱性追加 [#md4d8d26]

-ページ: BugTrack
-投稿者: [[ぱんだ]]
-優先順位: 緊急
-状態: 完了
-カテゴリー: 本体バグ
-投稿日: 2002-11-11 (月) 09:17:06
-バージョン: 

**メッセージ [#lc9b1000]
[[BugTrack/161]]に加えて、
cmd=diffおよびcmd=rssでも'<>'がエスケープされていません。

pukiwiki.php 384行目あたり
 // 差分の表示
 else if(arg_check("diff"))
 {
 -	$pagename = strip_bracket($get["page"]);
 +	$pagename = htmlspecialchars(strip_bracket($get["page"]));

rss.php 43行目あたり
 +	$title = htmlspecialchars($title);
 	$items.= " <title>$title</title>\n";


----
- wnjbBpGR -- [[zzjabytkph]] &new{2008-11-30 (日) 03:01:48};

#comment
//#comment

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Site admin: PukiWiki Development Team

PukiWiki 1.5.3+ © 2001-2020 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u12. HTML convert time: 0.078 sec.

OSDN