XSS в коде

Question

XSS в коде

Closed this issue 3 years ago · 4 comments

куда писать об уязвимости ?

Answer 1 · 2021-05-06T04:42:33.000Z

https://github.com/dragomano/Optimus/issues/new?assignees=&labels=&template=bug_report.md&title=

Answer 2 · 2021-05-12T21:34:12.000Z

Впрочем не всё так серьёзно как я думал, всего-лишь создатель борды может вставить любой код.
$context["meta_tags"] не квотится, пример:

<meta prefix="article: http://ogp.me/ns/article#" property="article:section" content="Section name "section name in quotes"">

Просто создай борду со скобками и поcмотри в код.

Answer 3 · 2021-05-27T13:33:59.000Z

Проверил на версии 2.7.3 с UTF-8: Новый «раздел» отображается в коде как Новый «раздел», Новый "раздел" — как Новый "раздел". Вопрос: а как нужно, чего вы ожидаете? Полное удаление любых кавычек? Разделы создает администратор форума, соответственно, от него зависит, что будет отображаться в заголовках.

Answer 4 · 2021-05-27T21:31:22.000Z

Я у себя тоже не могу повторить, видимо пофиксил. Замечу снова - напишу.