Значения полей некорректно фильтруется, т.е. например:
- если задать имя нового пользователя как <user>, то получим пустое имя пользователя
- но если задать имя как <script>alert('Имя');</script>, то при этом js код будет выполнен при просмотре списка исполнителей
- также заметил выполнение js кода в поле Тип процесса (если задать тип например <script>alert('type');</script)
или например даже в форме процесса Vacation (поля reason и comments)
Задал значение переменной в одном из процессов
<script>alert(document.cookie);</script>
Далее добавил вывод значений данной переменной в столбце, получаю выполнение кода
Просьба проверить что теперь нет каких-нибудь лишних запретов на ввод.
Проверил на примере процесса Vacation, запустил под julius, поле reason заполнил js скриптом, при получении задачи у nero, код выполнился.
скрин
Должно быть исправлено
В 4.1 не исправлено, использую ввод переменной строки, и вывод переменной (как строка), при этом js код выполняется,
если ввести например строку окруженную <... > то получаю empty строку
Last edit: vromav 2014-02-03