Es muss sichergestellt sein, dass $form->{login} keine Datei Pfadkomponenten enthalte...

[mfinanz.git] / login.pl

diff --git a/login.pl b/login.pl
index 7753cc5b860393162e6f0aa68d6758b7e9eca859..7cca68aa7e1f18275815ccf0a81304d186d396b2 100755 (executable)
--- a/login.pl
+++ b/login.pl
@@ -71,6 +71,8 @@ $0 =~ tr/\\/\//;
 $pos = rindex $0, '/';
 $script = substr($0, $pos + 1);
 
+$form->{login} =~ s|.*/||;
+
 if (-e "$userspath/nologin" && $script ne 'admin.pl') {
   print "content-type: text/plain