vzdalene spusteni kodu pres mail
Upozornění: Tohle vlákno je hodně staré a informace nemusí být platné pro současné Nette.
- treawouw@docmail.cz
- Člen | 7
problemy s RCE se objevily i v dalsich knihovnach pro posilani mailu
http://thehackernews.com/…endmail.html
chtel bych se zeptat jestli nekdo muze potvrdit, ze v Nette nic takoveho nehrozi?
- Jan Tvrdík
- Nette guru | 2595
Viz https://forum.nette.org/…e-2016-10045.
Pokud nenastavuješ ručně Nette\Mail\SendmailMailer::$commandArgs, tak by nic hrozit nemělo.
- David Grudl
- Nette Core | 8249
Přesněji, ručně nastavovat můžeš, jen pozor, abys k tomu nepoužívat hodnotu, kterou může poslat/podstrčit útočník. Pokud ano, ověř, že neobsahuje uvozovky nebo lomítka.