[TG] Color Username [УЯЗВИМОСТЬ] 1.0.1

nezuma · 20 Янв 2021

Call to undefined method West\ColorUsername\XF\Template\Templater::getGroupStyles()

Код:

#0 src/addons/ForoAgency/ColoredUsername/XF/Pub/View/Member/Find.php(24): ForoAgency\ColoredUsername\XF\Entity\User->faColoredUsernameGetUserColor()
#1 src/XF/Mvc/Renderer/AbstractRenderer.php(91): ForoAgency\ColoredUsername\XF\Pub\View\Member\Find->renderJson()
#2 src/XF/Mvc/Renderer/Json.php(63): XF\Mvc\Renderer\AbstractRenderer->renderViewObject('XF:Member\\Find', '', Array)
#3 src/XF/Mvc/Dispatcher.php(458): XF\Mvc\Renderer\Json->renderView('XF:Member\\Find', '', Array)
#4 src/XF/Mvc/Dispatcher.php(440): XF\Mvc\Dispatcher->renderView(Object(XF\Mvc\Renderer\Json), Object(XF\Mvc\Reply\View))
#5 src/XF/Mvc/Dispatcher.php(400): XF\Mvc\Dispatcher->renderReply(Object(XF\Mvc\Renderer\Json), Object(XF\Mvc\Reply\View))
#6 src/XF/Mvc/Dispatcher.php(58): XF\Mvc\Dispatcher->render(Object(XF\Mvc\Reply\View), 'json')
#7 src/XF/App.php(2300): XF\Mvc\Dispatcher->run()
#8 src/XF.php(465): XF\App->run()
#9 index.php(20): XF::runApp('XF\\Pub\\App')
#10 {main}

флудит постоянно такой ошибкой, не знаете с чем связано?

West14 · 20 Янв 2021

Не ко мне. Передавайте привет -

Hell Gospel написал(а):
ForoAgency\ColoredUsername\XF\Entity\User->faColoredUsernameGetUserColor()

nezuma · 20 Янв 2021

West14 написал(а):
Не ко мне. Передавайте привет -

А все, извиняюсь, нашел причину. Спасибо.

Экстрим · 20 Янв 2021

Hell Gospel написал(а):
А все, извиняюсь, нашел причину. Спасибо.

так расскажите, в чем проблема, может еще кому-то пригодится

DreamTails · 1 Ноя 2021

Нежданно, негаданно, ничего не предвещало беды, как вдруг...

OFFTOP

Я мало разбираюсь в этой теме, прошу не пинать

Суть в том, что если пользователь введёт не цвет, а что-либо другое, то никакой проверки на валидность не будет, и получится что-то типо этого

Как мне объяснили (спасибо Atikin в т.ч.) - это XSS уязвимость. Далее с его слов:

Он не валидрует введённый цвет и сохраняет все, что ввели, а потом это же отправляет юзеру. Вот туда и можно запихнуть что угодно, а оно потом улетит на страницу

West14, я надеюсь что ты исправишь эту ошибку. Заранее благодарю

West14 · 2 Ноя 2021

DreamTails, вообще хоть вроде как и жаловались уже, но секурити репорты нигде в паблик не делают, ещё и с полным описанием уязвимости, только после решения проблемы и оф. подтверждения.
На данный момент вот это вот всё у меня на самом последнем месте, отсюда либо пускай кто-то другой правит, либо отказывайтесь от использования. Уж извиняюсь за подставу.
Соответствующее предупреждение добавил в заголовок и описание темы\ресурса.

inz · 2 Ноя 2021

West14 написал(а):
DreamTails, вообще хоть вроде как и жаловались уже, но секурити репорты нигде в паблик не делают, ещё и с полным описанием уязвимости, только после решения проблемы и оф. подтверждения.
На данный момент вот это вот всё у меня на самом последнем месте, отсюда либо пускай кто-то другой правит, либо отказывайтесь от использования. Уж извиняюсь за подставу.
Соответствующее предупреждение добавил в заголовок и описание темы\ресурса.

[TG] Color Username [УЯЗВИМОСТЬ] 1.0.1

nezuma

West14

meow

nezuma

Экстрим

DreamTails

West14

meow

inz

Вложения

Похожие темы

Мы ценим вашу конфиденциальность