cotonti.com : XSS уязвимость в extra fields

Hurep

Wo, 15 Apr 2009 16:07:11 -0000

Если нельзя ждать, можешь сам поправить:

users.register.inc.php [74], users.profile.inc.php [376], users.edit.inc.php [103]

$import = sed_import('ruser'.$row['field_name'],'P','HTM');
//исправить на
$import = sed_import('ruser'.$row['field_name'],'P','TXT');

page.add.inc.php [79]

$import = sed_import('newpage'.$row['field_name'],'P','HTM');
//исправить на
$import = sed_import('newpage'.$row['field_name'],'P','TXT');

page.edit.inc.php [96]

$import = sed_import('rpage'.$row['field_name'],'P','HTM');
//исправить на
$import = sed_import('rpage'.$row['field_name'],'P','TXT');

Но лучше, конечно, дождаться автора, мало ли чего еще добавит.

medar

Wo, 15 Apr 2009 00:50:33 -0000

Сорри, я автор extra fields, в последнее время оч нерегулярно захожу сюда.
Моя вина, в ближайшее время пофиксю.

Dayver

Di, 14 Apr 2009 22:59:09 -0000

Если твета не последовало - не значит что нужно создавать несколько тем .... как только у кого либо из команды появится время и возможность даная проблема будет расмотрена и приняты соотв. действия.

На будущее если вы захотите "официально" заявить о проблеме то в таком случае лучшим вариантом будет создание тикета (желательно на англ. ... потому как будет больше шансов к быстрейшему решению проблемы не только русскоязычными членами команды) .

psyvek

Di, 14 Apr 2009 21:40:47 -0000

Собственно, в доп полях можно добавить любой код.
Писал об этом в "Ошибках движка" ответа не последовало. Для меня критично использование доп полей, но в том виде в каком они есть использовать их невозможно.