]> git.koha-community.org Git - koha.git/commit
Bug 19738: Fix XSS on vendor name in serials module
authorJosef Moravec <josef.moravec@gmail.com>
Sun, 3 Dec 2017 22:21:57 +0000 (22:21 +0000)
committerFridolin Somers <fridolin.somers@biblibre.com>
Tue, 23 Jan 2018 08:05:03 +0000 (09:05 +0100)
commit8a20bfe5ea8930bc331ad3c6f5f268ee13f8d8a0
tree8c819c3db06ebb7c2b4e8ac726ea1ad5addf624a
parent86e099803ef668577d44f38deb751882a11d5516
Bug 19738: Fix XSS on vendor name in serials module

Test plan:

1) do not apply this patch
2) Have at least one vendor which name does contain javascript, for
example: <i>Vendor 1</i><script>alert('Hi');</script>
3) go to serial module and create new subscription
4) use "Search for vendor"
5) Search for your vendor, when search results table is presented, the
javascript is executed
6) go through subscription creation and save the new subscription
7) On subscription detail page, the javascript is executed as well
8) apply this patch
9) Repeat 3-7, the script is not executed, the input is escaped

Signed-off-by: Katrin Fischer <katrin.fischer.83@web.de>
Signed-off-by: Marcel de Rooy <m.de.rooy@rijksmuseum.nl>
Signed-off-by: Fridolin Somers <fridolin.somers@biblibre.com>
koha-tmpl/intranet-tmpl/prog/en/modules/serials/acqui-search-result.tt
koha-tmpl/intranet-tmpl/prog/en/modules/serials/subscription-detail.tt