メールフォーム プラグイン HTMLタグがエスケープされない

mitchy731 > メールフォーム プラグイン HTMLタグがエスケープされない @ 2016/7/7 15:31
BaserCMS 2.1.2 にてメールフォームプラグインを使いフォームを作成しテストをおこなっていたところ、
一部動作でHTMLタグがエスケープされず、XSS可能となっていました。

【再現手順】
・任意のフォーム(テキスト項目有り)を作成
・フォーム入力画面より、テキスト項目にHTMLタグを記述 (「テスト"><!--」等)
・「入力内容を確認する」から確認画面に遷移する。(確認画面ではエスケープされている)
・確認画面の「書き直す」から入力画面に戻る。

以上で、確認画面から入力画面に戻った際に、テキスト項目の値がエスケープされておらず、
記述したHTMLタグが有効になってしまっています。

バージョンが古いこともあり、別サイトで用いていた BserCMS 3.0.6.1 で作成したフォームで試したところ、
やはり同様に、記述したHTMLタグが有効となっていました。

バージョンが古いため起こるバグでしょうか。また、修正するにはどの様にすればよいでしょうか。
稼働中のサイトという事もあり、容易にバージョンアップが行えないため、ファイル修正で完結できるのが理想です。

よろしくお願い致します。


■ BaserCMSのバージョン:2.1.2 (3.0.6.1 でも再現)

■ レンタルサーバー名:独自
■ OSの種類:CentOS release 5.5
■ PHPのバージョン:5.3.3
■ データベース種類・バージョン:MySQL 5.1.41

■ スマートURLの利用: ON
■ 設置フォルダ: サブフォルダ
■ 利用しているデータベース: MySQL
■ PHPスキル(自己評価): C
katokaisya > Re: メールフォーム プラグイン HTMLタグがエスケープされない @ 2016/7/12 11:22
はじめまして、katoと申します。
メールフォーム内で、HTMLタグを入力して、確認画面にいき、「書き直す」から入力画面に戻ると、ソース上ではHTMLになっているように見えますが、
例にあるような 
<!--
を入力しておいても、そこから先がコメントアウトになりません。
また、入力画面から再び確認画面へと行くと、またHTMLタグがエスケープされた状態になります。



実際にどんな状態になっているのか、ソースコードや、画面のスクリーンショットがあると、何かわかるかもしれません。
ログイン
ユーザー名:
パスワード:


  新規登録 / パスワード紛失

検索

facebook
フォーラムで悩みが解決した場合など、よかったら「いいね!」をポチっとクリックしてください!質問の回答者や開発者の励みになります

フォーラムガイド


関連リンク

オンライン状況
5 人のユーザが現在オンラインです。 (5 人のユーザが フォーラム を参照しています。)

登録ユーザ: 0
ゲスト: 5