操作
Bug(バグ) #3818
未完了管理画面スケジュールリソースの作成者名が正しくエスケープされていない
開始日:
2015-06-30
期日:
進捗率:
50%
予定工数:
3.6 で発生するか:
Unknown (未調査)
3.8 で発生するか:
Unknown (未調査)
説明
管理画面スケジュールリソースの作成者名が正しくエスケープされずに出力されています。
<?php echo get_auther_name($scheduleResourceForm->getObject(), true) ?>
Form 由来の変数であるため、自動エスケープの対象外となっています。
現行の機能の範囲内ではスケジュールリソースを作成できるのは管理者のみでその管理者の名前が出力されるだけですが、データ構造上はメンバーの名前が表示される可能性を持っているため、将来的な機能追加やカスタマイズを考慮すれば重要度は高いです。
操作