Bug(バグ) #3818
管理画面スケジュールリソースの作成者名が正しくエスケープされていない
開始日:
2015-06-30
期日:
進捗率:
50%
3.6 で発生するか:
Unknown (未調査)
3.8 で発生するか:
Unknown (未調査)
説明
管理画面スケジュールリソースの作成者名が正しくエスケープされずに出力されています。
<?php echo get_auther_name($scheduleResourceForm->getObject(), true) ?>
Form 由来の変数であるため、自動エスケープの対象外となっています。
現行の機能の範囲内ではスケジュールリソースを作成できるのは管理者のみでその管理者の名前が出力されるだけですが、データ構造上はメンバーの名前が表示される可能性を持っているため、将来的な機能追加やカスタマイズを考慮すれば重要度は高いです。
履歴
#1
Shinichi Urabe がほぼ9年前に更新
- 対象バージョン を 0.9.6 にセット
#2
Shinichi Urabe が8年以上前に更新
- ステータス を New(新規) から Pending Review(レビュー待ち) に変更
- 進捗率 を 0 から 50 に変更