XSS в коде

[woodholly]

куда писать об уязвимости ?

[dragomano]

https://github.com/dragomano/Optimus/issues/new?assignees=&labels=&template=bug_report.md&title=

[woodholly]

Впрочем не всё так серьёзно как я думал, всего-лишь создатель борды может вставить любой код.
$context["meta_tags"] не квотится, пример:

<meta prefix="article: http://ogp.me/ns/article#" property="article:section" content="Section name "section name in quotes"">

Просто создай борду со скобками и поcмотри в код.

[dragomano]

Проверил на версии 2.7.3 с UTF-8: Новый «раздел» отображается в коде как Новый «раздел», Новый "раздел" — как Новый "раздел". Вопрос: а как нужно, чего вы ожидаете? Полное удаление любых кавычек? Разделы создает администратор форума, соответственно, от него зависит, что будет отображаться в заголовках.

[woodholly]

Я у себя тоже не могу повторить, видимо пофиксил. Замечу снова - напишу.