]> git.koha-community.org Git - koha.git/commit
Bug 19051 - XSS Flaws in - Batch record deletion page
authorAmit Gupta <amit.gupta@informaticsglobal.com>
Mon, 7 Aug 2017 15:38:36 +0000 (21:08 +0530)
committerKatrin Fischer <katrin.fischer.83@web.de>
Sun, 20 Aug 2017 13:49:54 +0000 (15:49 +0200)
commit772394e954ec25b780b76e3b3b11fe63708d5f7e
tree12597eb0bbd2b73c20b806c4c4f99d6665c33f6f
parent5e2f38a958276308e600698590942f025e17cffa
Bug 19051 - XSS Flaws in - Batch record deletion page

1. Hit /cgi-bin/koha/tools/batch_delete_records.pl
2. Enter <IFRAME SRC="javascript:alert('XSS');"></IFRAME> in the Record number list (one per line) text area.
3. Notice the iframe is executed.
4. Apply patch.
5. Reload page, and enter iframe again on Record number list (one per line) text area.
6. Notice it is no longer executed.
7. Fixes for both biblio and authority records.

Signed-off-by: Chris Cormack <chrisc@catalyst.net.nz>
Signed-off-by: Marcel de Rooy <m.de.rooy@rijksmuseum.nl>
koha-tmpl/intranet-tmpl/prog/en/modules/tools/batch_delete_records.tt