Verhindern, dass durch Manipulation von $form->{callback} beliebiger Code ausgeführt...
authorMoritz Bunkus <m.bunkus@linet-services.de>
Mon, 9 Jul 2007 07:52:41 +0000 (07:52 +0000)
committerMoritz Bunkus <m.bunkus@linet-services.de>
Mon, 9 Jul 2007 07:52:41 +0000 (07:52 +0000)
SL/Form.pm
doc/changelog

index d510710..978a015 100644 (file)
@@ -692,6 +692,7 @@ sub redirect {
 
     ($script, $argv) = split(/\?/, $self->{callback}, 2);
     $script =~ s|.*/||;
+    $script =~ s|[^a-zA-Z_\.]||g;
     exec("perl", "$script", $argv);
 
   } else {
index 8078917..b8c87f7 100644 (file)
 \r
   Bugfixes:\r
 \r
+  - Es wurde verhindert, dass durch Manipulation von $form->{callback}\r
+    beliebiger Code ausgeführt werden kann.\r
   - Webdav: Wenn eine Pfadkomponente Leerzeichen enthielt\r
     (z.B. "Storno zu ..."), dann wurden komplett falsche Links erzeugt.\r
   - Bei Einkaufsrechnungen wurde das falsche Datumsfeld zur Berechnung\r