Bugzilla

Empêcher les utilisateurs d'introduire du Javascript malveillant

Il est possible pour un utilisateur Bugzilla de profiter des ambiguïtés de codage du jeu de caractères pour injecter du HTML dans les commentaires Bugzilla. Celui-ci pourrait contenir des scripts malveillants. En raison de considérations liées à l'internationalisation, nous ne sommes pas en mesure d'intégrer par défaut les modifications de code proposées par les services d'assistance du CERT sur cette question. Si votre installation est destinée uniquement à un public anglophone, vous éviterez ce problème en effectuant la modification de Exemple 4.4, « Obliger Bugzilla à sortir un charset ».

Exemple 4.4. Obliger Bugzilla à sortir un charset

Trouvez la ligne suivante dans Bugzilla/CGI.pm :

$self->charset('');

et remplacez la par :

$self->charset('ISO-8859-1');