addon_info->description을 포함하는 페이지가 escape로 인해 br 태그가 그대로 노출되는 이슈 #2303

Xvezda · 2018-09-19T06:56:06Z

$addon_info->description 을 포함하는 템플릿 코드가 이번 보안패치로 인해서
기존의 nl2br이 escape 되어, 깨져보이는 이슈가 있는것으로 보입니다.

해당 변수에 noescape 필터를 적용하거나 기존 개행을 무시하는 패치가 필요 할 것으로 생각됩니다.

The text was updated successfully, but these errors were encountered:

ghost · 2018-09-19T07:07:46Z

@Xvezda 감사합니다.
문제가 될 만한 페이지를 계속 찾고 있습니다.

nl2br에 대해서도 다시 확인해보도록 하겠습니다.

Xvezda · 2018-09-19T07:19:47Z

@bnu 다른 메뉴에서도 상세보기 등으로 열어볼때 비슷한 증상이 발생하는것으로 보아 코어에서
info.xml 을 파싱해서 출력해주는 부분을 전반적으로 검토해보는게 좋을 것 같습니다.

ghost · 2018-09-19T07:25:11Z

@Xvezda 네. 레이아웃, 위젯, 애드온 등 유사 목록을 표시하는 곳은 수정했습니다.(커밋 전)

ghost self-assigned this Sep 19, 2018

ghost added the type/bug label Sep 19, 2018

ghost added this to the 1.11.0 milestone Sep 19, 2018

ghost pushed a commit that referenced this issue Sep 19, 2018

#2303 nl2br이 사용 및 애드온 등 정보 페이지에서 HTML이 노출되는 문제 고침

5e1219f

ghost closed this as completed Sep 21, 2018

This issue was closed.

Provide feedback