Fixed bug #12629: XSS in sysext scheduler possible
authorOliver Hader <oliver.hader@typo3.org>
Wed, 25 Nov 2009 15:22:32 +0000 (15:22 +0000)
committerOliver Hader <oliver.hader@typo3.org>
Wed, 25 Nov 2009 15:22:32 +0000 (15:22 +0000)
git-svn-id: https://svn.typo3.org/TYPO3v4/Core/trunk@6542 709f56b5-9817-0410-a4d7-c38de5d9e867

ChangeLog
typo3/sysext/scheduler/mod1/index.php

index 1005837..d284e13 100755 (executable)
--- a/ChangeLog
+++ b/ChangeLog
@@ -26,6 +26,7 @@
        * Follow-up to bugfix #12581: Use FILTER_FLAG_SCHEME_REQUIRED constant in t3lib_div::isValidUrl()
        * Follow-up to bugfix #12420: Removed deprecation logging from methods that are still used in the TYPO3 Core
        * Fixed bug #12755: Update to ADOdb 5.10
+       * Fixed bug #12629: XSS in sysext scheduler possible (thanks to Georg Ringer)
 
 2009-11-24  Stanislas Rolland  <typo3@sjbr.ca>
 
index ca73f3c..596f75f 100755 (executable)
@@ -1015,7 +1015,7 @@ class tx_scheduler_Module extends t3lib_SCbase {
                                        // The task object is valid
 
                                        $name = $registeredClasses[$schedulerRecord['classname']]['title']. ' (' . $registeredClasses[$schedulerRecord['classname']]['extension'] . ')';
-                                       $additionalInformation = htmlspecialchars($task->getAdditionalInformation());
+                                       $additionalInformation = $task->getAdditionalInformation();
                                        if (!empty($additionalInformation)) {
                                                $name .= ' [' . $additionalInformation . ']';
                                        }
@@ -1088,7 +1088,7 @@ class tx_scheduler_Module extends t3lib_SCbase {
                                        }
 
                                                // Format the execution status
-                                       $executionStatusOutput = '<img ' . t3lib_iconWorks::skinImg(t3lib_extMgm::extRelPath('scheduler'), 'res/gfx/status_' . $executionStatus . '.png') . ' alt="' . htmlspecialchars($GLOBALS['LANG']->getLL('status.' . $executionStatus)) . '" title="' . htmlspecialchars($executionStatusDetail) . '" />' . ' ' . $name;
+                                       $executionStatusOutput = '<img ' . t3lib_iconWorks::skinImg(t3lib_extMgm::extRelPath('scheduler'), 'res/gfx/status_' . $executionStatus . '.png') . ' alt="' . htmlspecialchars($GLOBALS['LANG']->getLL('status.' . $executionStatus)) . '" title="' . htmlspecialchars($executionStatusDetail) . '" />' . ' ' . htmlspecialchars($name);
 
                                        $table[$tr][] = $startExecutionElement;
                                        $table[$tr][] = $actions;