[Svn-src-all:1359] [version-2_5-dev 20249] #963 [管理画面]メルマガ管理 r20248 で混入したセキュリティホール修正

2011年 2月 20日 (日) 12:52:04 JST

Subversion committed to /home/svn/open 20249
http://svn.ec-cube.net/open_trac/changeset/20249
┌────────────────────────────┐
│更新者　:  fukuda                                       │
│更新日時:  2011-02-20 12:52:03 +0900 (日, 20  2月 2011)│
└────────────────────────────┘

Log:
--------------------------------------------------------
#963 	[管理画面]メルマガ管理 r20248 で混入したセキュリティホール修正
$smarty.server.PHP_SELFはXSSの元だからダメよ

Changed:                      [U:修正，A:追加，D:削除]
--------------------------------------------------------
U   branches/version-2_5-dev/data/Smarty/templates/admin/mail/template_input.tpl

変更: branches/version-2_5-dev/data/Smarty/templates/admin/mail/template_input.tpl
===================================================================

--- branches/version-2_5-dev/data/Smarty/templates/admin/mail/template_input.tpl	2011-02-20 03:29:01 UTC (rev 20248)
+++ branches/version-2_5-dev/data/Smarty/templates/admin/mail/template_input.tpl	2011-02-20 03:52:03 UTC (rev 20249)
@@ -21,7 +21,7 @@
  * Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA  02111-1307, USA.
  */
 *}-->
-<form name="form1" id="form1" method="post" action="<!--{$smarty.server.PHP_SELF}-->">
+<form name="form1" id="form1" method="post" action="?">
 <input type="hidden" name="mode" value="<!--{$mode}-->" />
 <input type="hidden" name="template_id" value="<!--{$arrForm.template_id|h}-->" />
 <div id="mail" class="contents-main">


