Lien vers ce message 20 Aout 2007, 23:59
Bonsoir,
voici une rapide correction pour fixer deux failles de sécuritées qui m'ont été rapportées en privé par Black_H. A la base les RC sont à installer à vos risques et périles, cependant autant corriger au possible les failles les plus dangereuses. Ces failles sont bien sur corrigées dans la prochaine version.

Ouvrir le fichier ~/main/forum/forum_faq.php
Trouver
PHP (Sélectionner le code)
					'URL' =>		sid(ROOT . 'index.' . PHPEXT . '?p=faq&section=' . $key . '&keyword=' . $this->keyword),

Remplacer par
PHP (Sélectionner le code)
					'URL' =>		sid(ROOT . 'index.' . PHPEXT . '?p=faq&section=' . $key . '&keyword=' . htmlspecialchars($this->keyword)),


Trouver
PHP (Sélectionner le code)
			'KEYWORD' =>			$this->keyword,

Remplacer par
PHP (Sélectionner le code)
			'KEYWORD' =>			htmlspecialchars($this->keyword),



Trouver
PHP (Sélectionner le code)
					'URL' =>		sid(ROOT . 'index.' . PHPEXT . '?p=faq&area=' . $curent_area . '&section=' . $this->section . '&keyword=' . $this->keyword),

Remplacer par
PHP (Sélectionner le code)
					'URL' =>		sid(ROOT . 'index.' . PHPEXT . '?p=faq&area=' . $curent_area . '&section=' . $this->section . '&keyword=' . htmlspecialchars($this->keyword)),




Ouvrir le fichier ~/main/class/class_post.php
Trouver
PHP (Sélectionner le code)
		$this->allow_url = $cfg['sig_link_enabled'];
		$this->allow_img = $cfg['sig_img_enabled'];

Remplacer par
PHP (Sélectionner le code)
		$str = htmlspecialchars($str);
		$this->allow_url = $cfg['sig_link_enabled'];
		$this->allow_img = $cfg['sig_img_enabled'];

Cause Im as free as a bird now, And this bird you can not change. - Freebird - Lynyrd Skynyrd
There's someone in my head but it's not me. - Brain damage - Pink Floyd
I said baby, you know Im gonna leave you. - Babe I'm gonna leave you - Led Zeppelin
Father ? yes son, I want to kill you - The end - The Doors