]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/commit
HTML-escape error messages (CVE-2016-4561)
authorSimon McVittie <smcv@debian.org>
Wed, 4 May 2016 07:46:02 +0000 (08:46 +0100)
committerSimon McVittie <smcv@debian.org>
Sun, 8 May 2016 14:34:23 +0000 (15:34 +0100)
commitbcfba8cdb50dcaca9faa182955825670efb15852
treefe95eb77920e48c847ab28ebff418143a3ec5f3b
parent5975a6ddc3c14b69a6db1b05132724b422592b08
HTML-escape error messages (CVE-2016-4561)

The instance in cgierror() is a potential cross-site scripting attack,
because an attacker could conceivably cause some module to raise an
exception that includes attacker-supplied HTML in its message, for
example via a crafted filename. (OVE-20160505-0012, CVE-2016-4561)

The instances in preprocess() is just correctness. It is not a
cross-site scripting attack, because an attacker could equally well
write the desired HTML themselves; the sanitize hook is what
protects us from cross-site scripting here.
IkiWiki.pm
IkiWiki/CGI.pm
debian/changelog