Roundcubemail devel
parent: 26830dcc | patch | commit | ignore whitespace
Aleksander Machniak
2013-10-17 70c7df8faa5a9023a2773dc5a38932f1ad3a84aa 
Fix vulnerability in handling _session argument of utils/save-prefs (#1489382)
3 files modified
28 ■■■■■ changed files
CHANGELOG 1 ●●●● patch | view | raw | blame | history
program/lib/Roundcube/rcube_plugin_api.php 5 ●●●●● patch | view | raw | blame | history
program/steps/utils/save_pref.inc 22 ●●●●● patch | view | raw | blame | history 
 CHANGELOG


@@ -1,6 +1,7 @@


CHANGELOG Roundcube Webmail


===========================




- Fix vulnerability in handling _session argument of utils/save-prefs (#1489382)


- Fix iframe onload for upload errors handling (#1489379)


- Fix address matching in Return-Path header on identity selection (#1489374)


- Fix HTML part detection when encapsulated inside multipart/signed (#1489372)




 program/lib/Roundcube/rcube_plugin_api.php


@@ -35,8 +35,9 @@


    public $url = 'plugins/';


    public $task = '';


    public $output;


    public $handlers = array();


    public $allowed_prefs = array();


    public $handlers              = array();


    public $allowed_prefs         = array();


    public $allowed_session_prefs = array();




    protected $plugins = array();


    protected $tasks = array();




 program/steps/utils/save_pref.inc


@@ -5,7 +5,7 @@


 | program/steps/utils/save_pref.inc                                     |


 |                                                                       |


 | This file is part of the Roundcube Webmail client                     |


 | Copyright (C) 2005-2010, The Roundcube Dev Team                       |


 | Copyright (C) 2005-2013, The Roundcube Dev Team                       |


 |                                                                       |


 | Licensed under the GNU General Public License version 3 or            |


 | any later version with exceptions for skins & plugins.                |


@@ -19,16 +19,26 @@


 +-----------------------------------------------------------------------+


*/




$name = get_input_value('_name', RCUBE_INPUT_POST);


$value = get_input_value('_value', RCUBE_INPUT_POST);


$name     = get_input_value('_name', RCUBE_INPUT_POST);


$value    = get_input_value('_value', RCUBE_INPUT_POST);


$sessname = get_input_value('_session', RCUBE_INPUT_POST);




// Whitelisted preferences and session variables, others


// can be added by plugins


$whitelist = array(


    'preview_pane',


    'list_cols',


    'collapsed_folders',


    'collapsed_abooks',


);


$whitelist_sess = array(


    'list_attrib/columns',


);




if (!in_array($name, array_merge($whitelist, $RCMAIL->plugins->allowed_prefs))) {


$whitelist      = array_merge($whitelist, $RCMAIL->plugins->allowed_prefs);


$whitelist_sess = array_merge($whitelist_sess, $RCMAIL->plugins->allowed_session_prefs);




if (!in_array($name, $whitelist) || ($sessname && !in_array($sessname, $whitelist_sess))) {


    raise_error(array('code' => 500, 'type' => 'php',


        'file' => __FILE__, 'line' => __LINE__,


        'message' => sprintf("Hack attempt detected (user: %s)", $RCMAIL->get_user_name())),


@@ -42,7 +52,7 @@


$RCMAIL->user->save_prefs(array($name => $value));




// update also session if requested


if ($sessname = get_input_value('_session', RCUBE_INPUT_POST)) {


if ($sessname) {


    // Support multidimensional arrays...


    $vars = explode('/', $sessname);




@@ -57,5 +67,3 @@




$OUTPUT->reset();


$OUTPUT->send();