Titre du sujet : Xoops 2.5.10 - Violation de sécurité
par aminov sur 08/11/2020 13:06:42
Salut les xoopsiens(ennes) 
J'espère que vous allez tous bien.
J'ai découvert aujourd'hui par hasard une chose bizarre sur mon site de test en affichant le code source de l'une de mes pages gérés par le module Wfdownloads. J'ai le code ci-après qui a été injecté (je ne sais pas comment ou où) tout à la fin après la fermeture de la balise html :
<script type="text/javascript">
$('.magnific_zoom').magnificPopup({
type: 'image',
image: {
cursor: 'mfp-zoom-out-cur',
titleSrc: "title",
verticalFit: true,
tError: 'The image could not be loaded.' // Error message
},
iframe: {
patterns: {
youtube: {
index: 'youtube.com/',
id: 'v=',
src: '//www.youtube.com/embed/%id%?autoplay=1'
}, vimeo: {
index: 'vimeo.com/',
id: '/',
src: '//player.vimeo.com/video/%id%?autoplay=1'
}, gmaps: {
index: '//maps.google.',
src: '%id%&output=embed'
}
}
},
preloader: true,
showCloseBtn: true,
closeBtnInside: false,
closeOnContentClick: true,
closeOnBgClick: true,
enableEscapeKey: true,
modal: false,
alignTop: false,
mainClass: 'mfp-img-mobile mfp-fade',
zoom: {
enabled: true,
duration: 300,
easing: 'ease-in-out'
},
removalDelay: 200
});
</script>
Tout semble normal sur les pages affichées par les navigateurs, c'est la raison pour laquelle je n'ai jamais rien observé auparavant, et il a fallu afficher le code de source pour s'en rendre compte.
Je n'ai jamais eu ce problème sur mon site de production tournant sous Xoops 2.4 et Protector 3.4.
Est-ce une vulnérabilité relative à Xoops 2.5.10/Protector 3.61 ou au module Wfdownloads qui est en version beta ?
Merci BCP pour vos lumières..
|
