Головна сторінка Огляд Довідка
Увійти
LBP
/
netbox
дзеркало https://github.com/netbox-community/netbox.git
2
0
Відгалуження 0
Файли Проблеми 0 Wiki
Переглянути джерело

Fixes #20009: Fix DOM-based XSS vulnerability in search export functionality

Replace direct string concatenation with URLSearchParams to properly
encode user input in export link URLs, preventing injection of malicious
parameters or scripts through the search functionality.

Resolves CodeQL Alert #63 (js/xss-through-dom)
Jason Novinger 7 місяців тому
батько
bb83187505
коміт
2c09973e01
3 змінених файлів з 3 додано та 1 видалено
Розділений вигляд Показати статистику Diff
  1. 0 0
      netbox/project-static/dist/netbox.js
  2. 0 0
      netbox/project-static/dist/netbox.js.map
  3. 3 1
      netbox/project-static/src/search.ts

Різницю між файлами не показано, бо вона завелика
+ 0 - 0
netbox/project-static/dist/netbox.js


Різницю між файлами не показано, бо вона завелика
+ 0 - 0
netbox/project-static/dist/netbox.js.map


+ 3 - 1
netbox/project-static/src/search.ts
Переглянути файл 

@@ -38,7 +38,9 @@ function handleQuickSearchParams(event: Event): void {
 
 
   if (quickSearchParameters != null) {
 
     const link = document.getElementById('export_current_view') as HTMLLinkElement;
 
-    const search_parameter = `q=${quickSearchParameters.value}`;
 
+    const params = new URLSearchParams();
 
+    params.set('q', quickSearchParameters.value);
 
+    const search_parameter = params.toString();
 
     const linkUpdated = link?.href + '&' + search_parameter;
 
     link.setAttribute('href', linkUpdated);
 
   }

Деякі файли не було показано, через те що забагато файлів було змінено