From: Moritz Bunkus Date: Mon, 9 Jul 2007 07:52:41 +0000 (+0000) Subject: Verhindern, dass durch Manipulation von $form->{callback} beliebiger Code ausgeführt... X-Git-Tag: release-2.4.3^2~33 X-Git-Url: http://wagnertech.de/git?a=commitdiff_plain;h=f9413001b7f59a0a1ba791cc1c550d7268e7733a;p=kivitendo-erp.git Verhindern, dass durch Manipulation von $form->{callback} beliebiger Code ausgeführt werden kann. --- diff --git a/SL/Form.pm b/SL/Form.pm index d510710b7..978a01596 100644 --- a/SL/Form.pm +++ b/SL/Form.pm @@ -692,6 +692,7 @@ sub redirect { ($script, $argv) = split(/\?/, $self->{callback}, 2); $script =~ s|.*/||; + $script =~ s|[^a-zA-Z_\.]||g; exec("perl", "$script", $argv); } else { diff --git a/doc/changelog b/doc/changelog index 80789179e..b8c87f71c 100644 --- a/doc/changelog +++ b/doc/changelog @@ -117,6 +117,8 @@ Bugfixes: + - Es wurde verhindert, dass durch Manipulation von $form->{callback} + beliebiger Code ausgeführt werden kann. - Webdav: Wenn eine Pfadkomponente Leerzeichen enthielt (z.B. "Storno zu ..."), dann wurden komplett falsche Links erzeugt. - Bei Einkaufsrechnungen wurde das falsche Datumsfeld zur Berechnung