💾 Archived View for seydaneen.nahtgards.de › leuchtturm › dwemerartefakte › blog › 2022-02-04.gemini captured on 2023-11-04 at 11:32:16. Gemini links have been rewritten to link to archived content

View Raw

More Information

⬅️ Previous capture (2022-04-28)

-=-=-=-=-=-=-

JAGS-PHP security fix

English

I fixed a reverse path search bug via ".__." in JAGS. Now it checks if the requested file lays in the served root folder via realpath() instead of just dump replacing "__" and ".." via str_replace.

Thanks goes to Tyler Spivey (@tspivey:matrix.org via Matrix) for pointing me on this one.

Deutsch

Ein kleiner Bug, der dazu geführt hat, dass man mittels ".__." den Dateien außerhalb des Serverroots aufrufen konnte musste gefixt werden.

Man sollte immer "realpath()" anstelle von str_replace() verwenden, damit man nicht den Verzeichnisbaum hochtesten kann...

Danke fürs drauf aufmerksam machen Tyler Spivey (@tspivey:matrix.org via Matrix).

JAGS-PHP Gemini Server

^-> Github Repository

---

zurück (back)