attachment プラグインにXSS脆弱性†
- ページ: BugTrack
- 投稿者: masao
- 優先順位: 緊急
- 状態: 完了
- カテゴリー: 本体バグ
- 投稿日: 2003-03-03 (月) 13:32:08
- バージョン: 1.4pre5
メッセージ†
報告し忘れがありました。 XD
ソースは読んでませんが、$vars['age'] をそのまま出力しているようです。
例:
http://pukiwiki.sourceforge.jp/dev/index.php?plugin=attach&pcmd=info&file=autolink2.php&refer=AutoLink&age=1%22%3E%3Cs%3Etest%3C/s%3E