Voici les modifications à apporter sur une version 1.2.5

  • Ouvrir le fichier /CHANGELOG

A la fin du fichier, ajouter:

== 1.2.6 ==================================================
- Minor XSS vulnerability fixes
- Backport DC2 unsetGlobals diffs
  • Ouvrir le fichier /LISEZMOI.txt

Trouver:

DotClear 1.2.5

Remplacer par:

DotClear 1.2.6
  • Ouvrir le fichier /VERSION

Trouver:

1.2.5

Remplacer par:

1.2.6
  • Ouvrir le fichier /ecrire/tools/thememng/index.php

Trouver:

form::field('tool_url',50,'',$tool_url).'</p>'.

Remplacer par:

form::field('tool_url',50,'',htmlspecialchars($tool_url)).'</p>'.
  • Ouvrir le fichier /ecrire/tools/toolsmng/index.php

Trouver:

form::field('tool_url',50,'',$tool_url).'</p>'.

Remplacer par:

form::field('tool_url',50,'',htmlspecialchars($tool_url)).'</p>'.
  • Ouvrir le fichier /ecrire/trackback.php

Trouver:

$post_id = (!empty($_REQUEST['post_id'])) ? $_REQUEST['post_id'] : '';

Remplacer par:

$post_id = (!empty($_REQUEST['post_id'])) ? (integer) $_REQUEST['post_id'] : '';

Trouver:

$mySubMenu->addItem(
	__('Back to entry'),'poster.php?post_id='.$post_id,
	'images/ico_retour.png',false);

Remplacer par:

if ($post_id)
{
	$mySubMenu->addItem(
		__('Back to entry'),'poster.php?post_id='.$post_id,
		'images/ico_retour.png',false);
}

Trouver:

$tb_content,'','class="max" '.

Remplacer par:

htmlspecialchars($tb_content),'','class="max" '.
  • Ouvrir le fichier /inc/magic_strip.php

Trouver:

if (!in_array($k,$no_unset) && isset($GLOBALS[$k]) ) {

Après, ajouter:

$GLOBALS[$k] = NULL;