Roundcubemail devel
parent: d9698de9 | patch | commit | ignore whitespace
Aleksander Machniak
2012-11-14 d15163ab6ecabde9d12e8674bee37cbe562bd850 
Fix XSS vulnerability in handling of text/enriched messages (#1488806)
2 files modified
5 ■■■■ changed files
CHANGELOG 1 ●●●● patch | view | raw | blame | history
program/steps/mail/func.inc 4 ●●● patch | view | raw | blame | history 
 CHANGELOG


@@ -1,6 +1,7 @@


CHANGELOG Roundcube Webmail


===========================




- Fix XSS vulnerability in handling of text/enriched messages (#1488806)


- Fix handling of 'media' attribute on linked css (#1488789)


- Fix excessive LFs at the end of composed message with top_posting=true (#1488797)


- Option to display attached images as thumbnails below message body




 program/steps/mail/func.inc


@@ -753,7 +753,9 @@


  else if ($data['type'] == 'enriched') {


    $part->ctype_secondary = 'html';


    require_once(INSTALL_PATH . 'program/lib/enriched.inc');


    $body = Q(enriched_to_html($data['body']), 'show');


    $body = enriched_to_html($data['body']);


    $body = rcmail_wash_html($body, $data, $part->replaces);


    $part->ctype_secondary = 'html';


  }


  else {


    // assert plaintext