|
|
 |
|
|
|
|
|
|
Стало известно, что некоторые браузеры преобразуют теги изображений, в результате чего злоумышленник может выполнить XSS нападение.
Пример/Эксплоит: нет
Исправление:
Открыть файл ./sources/classes/bbcode/class_bbcode_core.php
Функция regex_check_image
Найти:
$default = "[img]".$url."[/img]";
Заменить на:
$default = "[img]".str_replace( '[', '&# 091;', $url )."[/img]";
Найти:
if ( preg_match( "/[?&;]/", $url) )
Заменить на:
if ( preg_match( "/[?&;\<\[]/", $url) )
Функция post_db_parse_bbcode
Найти:
preg_match_all( "#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si", $t, $match );
Заменить на:
preg_match_all( "#(\[$preg_tag\])((?!\[/$preg_tag\]).+?)?(\[/$preg_tag\])#si", $t, $match ); if ( $row['bbcode_tag'] == 'snapback' ) { $match[2][$i] = intval( $match[2][$i] ); }
Работает на DokuWiki |