プロジェクト

全般

プロフィール

Bug(バグ) #3818

未完了

管理画面スケジュールリソースの作成者名が正しくエスケープされていない

Rimpei Ogawa さんが9年以上前に追加. 9年以上前に更新.

ステータス:
Pending Review(レビュー待ち)
優先度:
Normal(通常)
担当者:
-
対象バージョン:
開始日:
2015-06-30
期日:
進捗率:

50%

予定工数:
3.6 で発生するか:
Unknown (未調査)
3.8 で発生するか:
Unknown (未調査)

説明

管理画面スケジュールリソースの作成者名が正しくエスケープされずに出力されています。

<?php echo get_auther_name($scheduleResourceForm->getObject(), true) ?>

Form 由来の変数であるため、自動エスケープの対象外となっています。

現行の機能の範囲内ではスケジュールリソースを作成できるのは管理者のみでその管理者の名前が出力されるだけですが、データ構造上はメンバーの名前が表示される可能性を持っているため、将来的な機能追加やカスタマイズを考慮すれば重要度は高いです。

他の形式にエクスポート: Atom PDF