ok, merci "manu93fr"
je vais mettre a jour les sites associatifs de ma commune et attendre le prochain fil pour y poster d'éventuelles remontées.
@+
-
Bonjour Eddy,
Il faut regarder la fonction dans laquelle tu as trouvé ton code.
Si la fonction contient un ou plusieurs paramètres sous la forme &$... au lieu de $...., il faut sécuriser les $params, car les paramètres peuvent être mis à jour et renvoyés à ton site avec du code non sécurisé.
Cependant, en regardant comment sont appelées les fonctions "chrome" (dans librairies/src/Helper/ModuleHelper.php), je vois mal comment le code "suspect" pourra être interprété (même chose pour $attribs) car l'appel aux fonctions se fait avec des $params et $attribs, donc les variables ne seront pas mises à jour.
Comme signalé sur l'alerte, il s'agit d'un risque mineur.
PascalLaisser un commentaire:
-
Bonjour Pascal.
J'ai un template créé avec Template creator CK 3 qui contient ces lignes p.ex.
$bootstrapSize = (int) $params->get('bootstrap_size', 0);
// Temporarily store header class in variable
$headerClass = $params->get('header_class');
Sont-elles concernées par ce htmlspecialchars ?Laisser un commentaire:
-
Bonjour,
En mettant à jour les templates que j'utilise, j'ai constaté qu'il n'y a pas que $params qui est appelé en lecture/écriture, il y a aussi $attribs.
Donc, si vous contactez votre fournisseur de templates, n'oubliez pas de lui préciser que la faille touche aussi bien $params que $attribs.
PascalLaisser un commentaire:
-
Bonsoir,
Il y a une des failles de sécurité qui a été corrigée au niveau des templates standards et qu'il convient de vérifier au niveau de vos templates:
Autrement dit, regardez dans le fichier modules.php qui est dans le répertoire html de votre template, s'il existe.Module Chromes (CVE-2018-6380)
This patch is fixing a longstanding issue with the module Chrome where the module_tag parameter in the system and Protostar template lack escaping which could lead to a XSS attack. This issue is fixed in Joomla 3.8.4 but only for the core templates. Please contact your template provider so they can check the corresponding module Chromes.
Dans les fonctions "chrome", regardez celles qui contiennent &$params (cela signifie que params est en lecture/écriture) et vérifiez que tous les appels à $params dans votre fonction sont bien inclus dans un htmlspecialchars.
En regardant dans le fichier modules.php de beez3 ou de protostar, vous verrez, par exemple,PascalCode:htmlspecialchars($params->get('moduleclass_sfx'), ENT_COMPAT, 'UTF-8')
Laisser un commentaire:
-
Joomla 3.8.4 disponible
Bonjour,
La version 3.8.4 vient de sortir.
Elle contient 4 corrections de failles de sécurité, minimes, mais, quand même corrigées... et un douzaine de bugs corrigés (voir en anglais pour l'instant : https://www.joomla.org/announcements...4-release.html).
Bonne fin de journée,
Pascal
Laisser un commentaire: