allora stavo cercando qualcosa che nn va nel cms e l ho trovata... non credo sia stata fatta apposta ma se si è una gran cagata..
problema che si verifica nei downlod e negli aricoli...
guestbook e forum e chat sono ok...
se quacuno mette come titolo di un articolo o come testo
vi siete chiesti cosa succede?
se la mette come titolo avra un bel casino in home... se come testo ogni volta che apre la discussione...
io ho provato con quel banale script... ma dato che è vulnerabile alle XSS è un bel problema...
Risposta # 1
Autore
:
xad
Rango
:
pivello
Visite
:
3
Pubblicato Martedì, 24 Giugno 2008 - 17:03:45
E' un problema di sicurezza abbastanza grave, quindi si deve per prima cosa disabilitare all'inserimento di articoli e download agli esterni e poi passare la patch di correzione. Grazie per la segnalazione :)
Risposta # 2
Autore
:
Alien
Rango
:
pivello
Visite
:
9
Pubblicato Martedì, 24 Giugno 2008 - 17:06:09
grazie xad
Risposta # 3
Autore
:
xad
Rango
:
pivello
Visite
:
3
Pubblicato Martedì, 24 Giugno 2008 - 22:31:39
Modificando il file struttura/funzioni.str con il seguente codice credo che sia risolvibile almeno dai test che ho potuto effettuare sul mio sito:
Risposta # 4
Autore
:
xad_
Pubblicato Martedì, 1 Luglio 2008 - 09:04:55
Ho completato le prove sul problema ed ho constato che il controllo su FTIT() non può essere depurato da codice html in quanto molti moduli ne fanno uso, come per esempio l'inserimento del tag commento in modo da creare un ordinamento numerico. Pertanto la correzione deve essere fatta in modo strutturale sui vari editor. La differenza sostanziale è sull'uso dell'editor completo da parte degli utenti amministratori mentre un guesteditor per gli esterni. Si deve intervenire qui. A presto XAD
