JsTranslationBundle安全发布

Andreas Forsblom报告了两个潜在的安全问题JsTranslationBundle:一个路径遍历攻击和一个代码远程注入．

事实上,地区参数没有被验证，因此可以执行以下请求:

http://localhost/translations?locales=randomstring/something

该文件something.js是在子目录中创建的messages.randomstring，这是一种不期望的行为。通过这样做，可以从包的缓存目录向下遍历。

http://localhost/translations?locales=randomstring/../../evil

上面的请求提供了以下文件:

/var/www/someproject / app /缓存/ dev / bazinga-js-translation / messages.randomstring / . . / . . / evil.js

根据服务器的配置，甚至可以在web目录中创建或覆盖文件。过滤地区参数缓解了这个问题以及远程代码注入问题。

还可以将JavaScript代码传递给地区参数，然后注入到生成的JS文件中。

http://localhost/translations?locales=foo%0Auncommented%20code;

上面的请求生成了以下代码:

(函数(翻译){翻译。Fallback = 'en';Translator.defaultDomain = 'messages';// foo未注释的代码;})(翻译);

这两个问题已在版本中修复2.1.1．所有用户必须升级到此版本!

如需进一步资料，请参阅发行通知．