search

dragomano / Optimus

A simple SEO mod for SMF
https://custom.simplemachines.org/mods/index.php?mod=2659
Artistic License 2.0
6 stars 8 forks source link

XSS в коде #35

Closed woodholly closed 3 years ago

woodholly commented 3 years ago

куда писать об уязвимости ?

dragomano commented 3 years ago

https://github.com/dragomano/Optimus/issues/new?assignees=&labels=&template=bug_report.md&title=

woodholly commented 3 years ago

Впрочем не всё так серьёзно как я думал, всего-лишь создатель борды может вставить любой код. $context["meta_tags"] не квотится, пример:

<meta prefix="article: http://ogp.me/ns/article#" property="article:section" content="Section name "section name in quotes"">

Просто создай борду со скобками и поcмотри в код.

dragomano commented 3 years ago

Проверил на версии 2.7.3 с UTF-8: Новый «раздел» отображается в коде как Новый «раздел», Новый "раздел" — как Новый &quot;раздел&quot;. Вопрос: а как нужно, чего вы ожидаете? Полное удаление любых кавычек? Разделы создает администратор форума, соответственно, от него зависит, что будет отображаться в заголовках.

woodholly commented 3 years ago

Я у себя тоже не могу повторить, видимо пофиксил. Замечу снова - напишу.