4images Forum & Community
4images Help / Hilfe => Bug Fixes & Patches => Topic started by: kai on March 19, 2012, 05:46:51 PM
-
A cross site scripting vulnerability in 4images 1.7 - 1.7.10 has been found.
To fix this:
In details.php
find
$meta_keywords = !empty($image_row['image_keywords']) ? implode(", ", explode(",", $image_row['image_keywords'])) : "";
$meta_description = !empty($image_row['image_description']) ? strip_tags($image_row['image_description']) . ". " : "";
and replace it with
$meta_keywords = !empty($image_row['image_keywords']) ? strip_tags(implode(", ", explode(",", $image_row['image_keywords']))) : "";
$meta_description = !empty($image_row['image_description']) ? strip_tags($image_row['image_description']) . ". " : "";
and in rss.php
find 2 x
$text = format_text(trim($text), 1, 0, 1);
and replace it both times with
$text = format_text(trim($text), 2, 0, 1);
-
bei mir wurde die functions.php mal verändert, kann nicht mehr sagen von welchem Mod.
wie muss ich vorgehen ?
//$description = (!empty($image_row['image_description'])) ? format_text($image_row['image_description'], 1, 0, 1) : REPLACE_EMPTY;
$description = (!empty($image_row['image_description'])) ? format_text($image_row['image_description'], 1) : REPLACE_EMPTY;
LG
Der Eintrag in der rss.php ist 2x vorhanden, auch 2x ersetzen ?
-
@ Jan,
ich denke mal du kannst das einfach so übernehmen:
$description = (!empty($image_row['image_description'])) ? format_text($image_row['image_description'], 2, 0, 1) : REPLACE_EMPTY;
Und ja rss.php 2x suchen und 2x ersetzen
-
schon, nur hatte ich das ja nicht grundlos geändert :wink:
habe es jetzt so geändert
$description = (!empty($image_row['image_description'])) ? format_text($image_row['image_description'], 2) : REPLACE_EMPTY;
glaube das lag an der html Geschichte in der Beschreibung
LG
-
hallo,
in meiner mehr oder weniger originalen version 1.7 gibts weder in der details.php, noch in der rss.php die beiden oben genannten code-zeilen! betrifft die lücke evtl. nur spätere versionen!??
-
Hi!
...in meiner mehr oder weniger originalen version 1.7 gibts weder in der details.php, noch in der rss.php die beiden oben genannten code-zeilen! betrifft die lücke evtl. nur spätere versionen!??
Wenn du wirklich noch ein 1.7er Version hast dann ja, die Meta Keyword und Description sind viel später dazu gekommen.
Die werden dazu benötigt um die Keyw. und die desc. in den Page Header zu bekommen, quasi um das ganze Suchmaschinen freundlicher zu gestalten.
mfg Andi