Failles de sécurité relevées sur Pluxml avec Snyk

pluxml / PluXml

A CMS to create lightweight websites with ease and without database.

http://pluxml.org

GNU General Public License v3.0

218 stars 70 forks source link

Failles de sécurité relevées sur Pluxml avec Snyk #830

Open LauPld opened 1 month ago

LauPld commented 1 month ago

Bonjour

Utilisateur enthousiaste de Pluxml, j'ai découvert hier pas mal de vulnérabilités de sécurité dans le code (surtout dans le dossier core) en utilisant l'outil Snyk.

J'ai commencé à corriger les vulnérabilités marquées comme hautes.

fork avec mes suggestions de patchs

Voici les captures d'écran avant et après :

Screenshot_20240921_182124

Screenshot_20240922_124824

bazooka07 commented 1 month ago

Bonjour, Quelle version de PluXml as-tu testé ? Il y a 2 versions :

stable : 5.8.16 - branche 5.8.10
en développement avec beaucoup de changements : 5.9.7.0-rc7 - branche master

Peux-tu faire un fork avec Git et poster des pull-requests sur la branche master ?

Pour l'instant, je ne peux pas prendre en compte tes suggestions à moins d'y passer beaucoup de temps. Evite de faire des gros commits stp

Toute aide est la bienvenue !

LauPld commented 1 month ago

Bonjour

Testé sur stable : 5.8.16

Mon fork est dans le message précédent

Je peux aussi analyser la branche 5.9.7.0

bazooka07 commented 1 month ago

Bonjour,

Pas trop motivé pour apporter des modifs à la version 5.8.16 ( branche 5.8.10 ). Dans la prochaine version 5.9.0, il y a eu beaucoup de corrections de code et des fonctionnalités supplémentaires.

Je suis plus intéressé par la version 5.9.0-rc7 ( branche master ).

Essaie de garder le nom initial des branches dans ton fork.

LauPld commented 1 month ago

J'ai téléchargé et analysé la version 5.9.0, il y a bien les mêmes vulnérabilités de code que j'avais relevé et corrigé. Par contre il n'y a plus de vulnérabilités dans le fichier composer.json sur cette version.