Ver 3.37.1 - 3.38 (SQLインジェクション脆弱性の修正など) :: XOOPS マニア

SQLインジェクション脆弱性の修正 ^{[8] [9]}

Ver 3.38 未満の xpWiki^[10] に、SQLインジェクションの脆弱性が発見されましたので、その修正を行いました。

該当のバージョンをお使いの方は、Ver 3.38 以降にバージョンアップされることを、とっても強くお勧めします。

attach.inc.php のマルチバイトファイル名の問題 ^{[11] [12]}

環境によっては、マルチバイトファイル名が正常に扱えない場合があるようです。その修正を行っていますが、未完です。

後に、PHP の basename() 関数のバグであることが分かりましたので、次のバージョンで修正します。

CVS 更新内容 ^{[13] [14]}

• 2007-11-27 11:34 nao-pon^[15]
  • * xoops_version.php (1.236):
    • Version 3.38
• 2007-11-27 11:26 nao-pon^[15]
  • * plugin^[16]/ref.inc.php (1.17):
    • Too long file name specified, attached link to Hide.
• 2007-11-27 10:52 nao-pon^[15]
  • * class/func/xpwiki_func.php (1.113):
    • SQL Injection vulnerability fixes.
• 2007-11-27 10:51 nao-pon^[15]
  • * plugin^[16]/attach.inc.php (1.28):
    • Adjustment of multi byte attached file name. (V2)
• 2007-11-27 10:50 nao-pon^[15]
  • * plugin^[16]/edit.inc.php (1.46):
    • Parameters quote omission.
• 2007-11-27 10:32 nao-pon^[15]
  • * plugin^[16]/ref.inc.php (1.16):
    • Warning error suppression.(Illegal attachment names)
• 2007-11-26 17:30 nao-pon^[15]
  • * xoops_version.php (1.235):
    • Version 3.37.3
• 2007-11-26 17:30 nao-pon^[15]
  • * include/compat.php (1.5):
    • It is used if there is mbemulator.
• 2007-11-26 17:00 nao-pon^[15]
  • * plugin^[16]/attach.inc.php (1.27):
    • Adjustment of multi byte attached file name.
• 2007-11-26 10:54 nao-pon^[15]
  • * xoops_version.php (1.234):
    • Version 3.37.2
• 2007-11-26 10:54 nao-pon^[15]
  • * class/include/init.php (1.35):
    • Remove "session_name" from args.
• 2007-11-25 17:44 nao-pon^[15]
  • * xoops_version.php (1.233):
    • Version 3.37.1
• 2007-11-25 12:19 nao-pon^[15]
  • * loader.php (1.26):
    • In XOOPS^[17] 2.2.5, the problem that cache was not able to be made was corrected.
• 2007-11-25 12:18 nao-pon^[15]
  • * plugin^[16]/attach.inc.php (1.26):
    • The problem that the owner check of the file was not able to be normalized was corrected.