Lỗi XSS trong Joomla Kunena Component phiên bản 3.0.4

Thảo luận trong 'Bình chọn - Thảo luận' bắt đầu bởi nclinh, 24/8/14.

  1. nclinh

    nclinh Staff Member

    Lỗi XSS trong Joomla Kunena Component phiên bản 3.0.4

    Joomla Kunena Component là một thành phần mở rộng cho Joomla cho phép người dùng có thể tạo diễn đàn trên chính website Joomla của mình với hơn 3 triệu được tải trong gần 6 năm trở lại đây.

    Tuy nhiên ở phiên bản Joomla Kunena Component 3.04 xuất hiện lỗi XSS lỗi này xuất hiện do người dùng nhập một dấu (') khi nhúng Google map vào trong khung nhập. Ví dụ cú pháp sau sẽ gây ra lỗi XSS:

    [map]'}});}});alert('XSS');(function(){{(function(){{var v='[/map]
    Lỗi xuất phát từ tập tin \bbcode\bbcode.php tại dòng 1049-1116

    1049 function DoMap($bbcode, $action, $name, $default, $params, $content) { ... 1078 $document->addScriptDeclaration(" 1079 // <![CDATA[ ... 1097 var contentString = '<p><strong>".JText::_('COM_KUNENA_GOOGLE_MAP_NO_GEOCODE', true)." <i>".json_encode($content)."</i></strong></p>'; ... 1112 // ]]>" 1113 );
    Khắc phục: Hãy cập nhật Kunena Component lên phiên bản mới hơn là 3.0.5 hoặc mới hơn tại địa chỉ http://www.kunena.org/download

    Nguồn: http://joomlabasic.com/fix-loi-joomla/463-loi-xss-trong-joomla-kunena-component-phien-ban-304.html

Chia sẻ trang này