Modulnamen sanitizing 4.8.18

Gesperrt
cvelde
Beiträge: 1
Registriert: Mo 14. Okt 2013, 12:54
Kontaktdaten:

Modulnamen sanitizing 4.8.18

Beitrag von cvelde » Mi 16. Okt 2013, 14:59

Hallo,

Modulnamen werden nicht sanitized und können dazu führen das HTML in der Sidebar zu zerstören

Einfacher Test: Modulname mit " sorgt für kaputte Buttons

Version: 4.8.18

Patch:

Code: Alles auswählen

--- <html>functions.mod.php (<b>17.10.2012 01:03:30</b>)</html>
+++ <html><b>Current File</b></html>
@@ -76,7 +76,7 @@
     		$cApiModule->get("input") != stripslashes($input) ||
     		$cApiModule->get("type") != stripslashes($type))
     {
-		$cApiModule->set("name", $name);
\ No newline at end of file
+		$cApiModule->set("name", htmlentities($name));
\ No newline at end of file
 		$cApiModule->set("output", $output);
 		$cApiModule->set("template", $template);
 		$cApiModule->set("description", $description);
Edit: Das sorgt natürlich dafür das die Modulnamen im Eingabefeld nicht richtig dargestellt werden, das müsste man dann auch noch beheben

Gesperrt