mantisによる報告:

Teun Beijers氏は、Edit Filterページにクロスサイトスクリプティング（XSS）の脆弱性があることを報告しました。これにより、細工された名前を持つフィルターを表示する際に、任意のコード（CSP設定で許可されている場合）の実行が可能になります。
表示の前にフィルター名をサニタイズすることで、攻撃を防ぎます。

Netsparkerのセキュリティ研究者であるOmer Citak氏は、この脆弱性を報告しました。これにより、リモートの攻撃者が、view_filters_page.phpの細工されたPATH_INFOを通じて、任意のコード（CSP設定が許可する場合）を注入する可能性があります。表示する前に$_SERVER ['PHP_SELF']の出力をサニタイズすることで、攻撃を防ぎます。

検出

FreeBSD: mantis -- 複数の脆弱性（0822a4cf-9318-11e8-8d88-00e04c1ea73d）

high Nessus プラグイン ID 111403

変更ログが見つかりません