CVE-2019-16392: spip

Browse Source

ne rien laisser passer dans var_erreur, c’est encore plus sur et de toute facon on attends pas de HTML ici (Boulouiz Youssouf)

pull/9/head

1 changed files with 2 additions and 2 deletions

1. 4

   prive/formulaires/login.php

**

4

prive/formulaires/login.php

**

@ -138,8 +138,8 @@ function formulaires_login_charger_dist($cible = '’, $login = '’, $prive = null)

} elseif ($erreur) {

    // une erreur d'un SSO indique dans la redirection vers ici

    // mais il faut se proteger de toute tentative d'injection malveilante

    include_spip('inc/texte');

    $valeurs['message_erreur'] = safehtml($erreur);

    include_spip('inc/filtres');

    $valeurs['message_erreur'] = textebrut($erreur);

}

return $valeurs;