You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

Pages: 1

#1 2007-05-18 14:55:59

Sca
Member
Registered: 2007-05-18
Posts: 1

Caractères interdits

Bonjour,

J'ai pu constater les deux bogues que voici :

Lors de l'exportation d'une Vcard, si une des informations de l'utilisateur contient un ';', le résultat est faussé (décalage de donnée... celui la ne dérange pas trop je pense).

En revanche, pour la sauvegarde de la base de données nous génère un fichier backup.xml, si on renomme le fichier comme cela :
    ');alert('code inséré !.xml
le lien déclanchant la suppression (par exemple) de ce fichier xml (qui sera alors visible dans la liste de fichiers dans glpi) provoquera une injection de code en javascript :
    javascript:erase('');alert('code inséré !.xml')
au lieu de
    javascript:erase('backup.xml')

Je ne connais pas les possibilités offertes par le javascript, mais je suppose que ca doit être sympa ^^ (Vous me direz... qui irait coller son nez la dedans -_- mais bon :] )

Merci et bonne continuation :D

Offline

Pages: 1

Board footer

Powered by FluxBB