Inicio Explorar Axuda
Iniciar sesión
LBP
/
netbox
réplica de https://github.com/netbox-community/netbox.git
2
0
Fork 0
Ficheiros Incidencias 0 Wiki
Explorar o código

Fixes #20009: Fix DOM-based XSS vulnerability in search export functionality

Replace direct string concatenation with URLSearchParams to properly
encode user input in export link URLs, preventing injection of malicious
parameters or scripts through the search functionality.

Resolves CodeQL Alert #63 (js/xss-through-dom)
Jason Novinger hai 6 meses
pai
bb83187505
achega
2c09973e01
Modificáronse 3 ficheiros con 3 adicións e 1 borrados
Dividir vista Mostrar estatísticas de Diff
  1. 0 0
      netbox/project-static/dist/netbox.js
  2. 0 0
      netbox/project-static/dist/netbox.js.map
  3. 3 1
      netbox/project-static/src/search.ts

A diferenza do arquivo foi suprimida porque é demasiado grande
+ 0 - 0
netbox/project-static/dist/netbox.js


A diferenza do arquivo foi suprimida porque é demasiado grande
+ 0 - 0
netbox/project-static/dist/netbox.js.map


+ 3 - 1
netbox/project-static/src/search.ts
Ver ficheiro 

@@ -38,7 +38,9 @@ function handleQuickSearchParams(event: Event): void {
 
 
   if (quickSearchParameters != null) {
 
     const link = document.getElementById('export_current_view') as HTMLLinkElement;
 
-    const search_parameter = `q=${quickSearchParameters.value}`;
 
+    const params = new URLSearchParams();
 
+    params.set('q', quickSearchParameters.value);
 
+    const search_parameter = params.toString();
 
     const linkUpdated = link?.href + '&' + search_parameter;
 
     link.setAttribute('href', linkUpdated);
 
   }

Algúns arquivos non se mostraron porque demasiados arquivos cambiaron neste cambio