fix: bloquer les parametre _oups mal formes dans les request

Refs: https://git.spip.net/spip-team/securite/issues/4835

fix: bloquer les parametre _oups mal formes dans les request
43e9519d · cerdic · e254d543 · 43e9519d
--- a/ecran_securite.php
+++ b/ecran_securite.php
@@ -5,7 +5,7 @@
 * ------------------
 */

-define('_ECRAN_SECURITE', '1.4.1'); // 2021-03-12
+define('_ECRAN_SECURITE', '1.4.2'); // 2022-07-12

 /*
 * Documentation : https://www.spip.net/fr_article4200.html
@@ -538,7 +538,7 @@ if (
 */
 if (
 	isset($_REQUEST['op']) and isset($_REQUEST['page'])
-	and $_REQUEST['op'] !== preg_replace('/[^\-\w]/', '', $_REQUEST['op'])
+	and $_REQUEST['op'] !== preg_replace('/[^\\-\w]/', '', $_REQUEST['op'])
 ) {
 	$ecran_securite_raison = 'op';
 }
@@ -639,6 +639,17 @@ if (
 	$ecran_securite_raison = "malformed connect argument";
 }

+
+/*
+ * _oups donc
+ */
+if (
+	isset($_REQUEST['_oups'])
+	and base64_decode($_REQUEST['_oups'], true) === false) {
+	$ecran_securite_raison = "malformed _oups argument";
+}
+
+
 /*
 * S'il y a une raison de mourir, mourons
 */