Patch per vulnerabilità XSS - Avviso Secunia SA50574

Aggiornata la versione in admin di zen_get_all_get_params per includere la medesima modalità di sanitizzazione utilizzata nel frontend
zencartitalia · Oct 10, 2012 · f86ccb7 · f86ccb7
1 parent 0638429
commit f86ccb7
Showing 1 changed file with 2 additions and 1 deletion.
diff --git a/admin/includes/functions/general.php b/admin/includes/functions/general.php
@@ -122,7 +122,8 @@ function zen_get_all_get_params($exclude_array = '') {
 
     reset($_GET);
     while (list($key, $value) = each($_GET)) {
-      if (($key != zen_session_name()) && ($key != 'error') && (!in_array($key, $exclude_array))) $get_url .= $key . '=' . $value . '&';
+      if (($key != zen_session_name()) && ($key != 'error') && (!in_array($key, $exclude_array))) 
+		$get_url .= zen_sanitize_string($key) . '=' . rawurlencode(stripslashes($value)) . '&';
     }
 
     return $get_url;