Browse Source

fix: bloquer les parametre _oups mal formes dans les request

Refs: spip-team/securite#4835
master
Cerdic 3 months ago
parent
commit
43e9519d83
  1. 15
      ecran_securite.php

15
ecran_securite.php

@ -5,7 +5,7 @@
* ------------------
*/
define('_ECRAN_SECURITE', '1.4.1'); // 2021-03-12
define('_ECRAN_SECURITE', '1.4.2'); // 2022-07-12
/*
* Documentation : https://www.spip.net/fr_article4200.html
@ -538,7 +538,7 @@ if (
*/
if (
isset($_REQUEST['op']) and isset($_REQUEST['page'])
and $_REQUEST['op'] !== preg_replace('/[^\-\w]/', '', $_REQUEST['op'])
and $_REQUEST['op'] !== preg_replace('/[^\\-\w]/', '', $_REQUEST['op'])
) {
$ecran_securite_raison = 'op';
}
@ -639,6 +639,17 @@ if (
$ecran_securite_raison = "malformed connect argument";
}
/*
* _oups donc
*/
if (
isset($_REQUEST['_oups'])
and base64_decode($_REQUEST['_oups'], true) === false) {
$ecran_securite_raison = "malformed _oups argument";
}
/*
* S'il y a une raison de mourir, mourons
*/

Loading…
Cancel
Save