Hallo Gemeinde,
in der aktuellen Version wird in Zeile 67 der application_top.php die global verwendete $PHP_SELF-Variable definiert.
Diese Variable wird, wie der Name sagt, durch $_SERVER['PHP_SELF'] initialisiert.
Verwendet man $PHP_SELF nun ohne diese vorher entsprechend zu escapen, öffnet man Angreifern eine bekannte Möglichkeit zum Cross-Site-Scripting (XSS).
Die in Zeile 69-79 genutzten regulären Ausdrücke zum Validieren der Variable, scheinen nicht wirklich dazu gedacht zu sein, einen solchen Angriff zu unterbinden.
Die Verwendung von $_SERVER['SCRIPT_NAME'] zum Initialisieren der Variable wäre ein möglicher Patch.
Eventuell kann es hierbei zu Inkompatibilitäten mit bisherigen Modulen kommen.
Beste Grüße,
Mitch
Linkback: https://www.modified-shop.org/forum/index.php?topic=12540.0