JAGS-PHP security fix

English

I fixed a reverse path search bug via ".__." in JAGS. Now it checks if the requested file lays in the served root folder via realpath() instead of just dump replacing "__" and ".." via str_replace.

Thanks goes to Tyler Spivey (@tspivey:matrix.org via Matrix) for pointing me on this one.

Deutsch

Ein kleiner Bug, der dazu geführt hat, dass man mittels ".__." den Dateien außerhalb des Serverroots aufrufen konnte musste gefixt werden.

Man sollte immer "realpath()" anstelle von str_replace() verwenden, damit man nicht den Verzeichnisbaum hochtesten kann...

Danke fürs drauf aufmerksam machen Tyler Spivey (@tspivey:matrix.org via Matrix).

JAGS-PHP Gemini Server

^-> Github Repository