[spip-dev] SPIP SPIP 2.1.0-beta [15310] test XSS alert

Cedric2 · Février 24, 2010, 11:26

Bonjour,

Je viens de tester ce matin des injections JavaScript dans un forum qui fonctionne toujours.

’ ;alert(String.fromCharCode(115,113,117,105,114,114,101,108))//\ ’ ;alert(String.fromCharCode(115,113,117,105,114,114,101,108))// " ;alert(String.fromCharCode(115,113,117,105,114,114,101,108))//\ " ;alert(String.fromCharCode(115,113,117,105,114,114,101,108))//—>

">’> <SCRIPT>
alert(String.fromCharCode(115,113,117,105,114,114,101,108))
</SCRIPT>

SPIP 2.1.0-beta [15310]

Squirrel

cerdic · Février 24, 2010, 11:39

je ne reproduis pas.
Tu as bien vidé le cache de spip après avoir mis a jour, pour que les
squelettes soient recompilés ?

Cédric

denisb1 · Février 24, 2010, 11:42

réparé par http://trac.rezo.net/trac/spip/changeset/15309

rappel :
pour ce qui touche à la sécurité et autres failles trouvées :
un mail à spip-team@rezo.net