|
|
 |
|
|
|
|
|
|
Уязвимость существует из-за недостаточной обработки входных данных в некоторых параметрах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
Пример/Эксплоит: Нет
Исправление:
Открыть файл ./sources/classes/bbcode/class_bbcode.php, найти код:
$txt = preg_replace( "#javascript\:#is", "java script:", $txt ); $txt = str_replace( "`" , "`" , $txt );
Заменить на:
$txt = preg_replace( "#javascript\:#is", "java script:", $txt ); $txt = preg_replace( "#vbscript\:#is", "vb script:", $txt ); $txt = str_replace( "`" , "`" , $txt ); $txt = preg_replace( "#moz\-binding:#is", "moz binding:", $txt );
Открыть файл /sources/lib/post_parser.php, найти код:
# XSS Clean $txt = preg_replace( "#javascript\:#is", "java script:", $txt ); $txt = str_replace( "`" , "`" , $txt );
Заменить на:
# XSS Clean $txt = preg_replace( "#javascript\:#is", "java script:", $txt ); $txt = preg_replace( "#vbscript\:#is", "vb script:", $txt ); $txt = str_replace( "`" , "`" , $txt ); $txt = preg_replace( "#moz\-binding:#is", "moz binding:", $txt );
Работает на DokuWiki |