vzdalene spusteni kodu pres mail

Upozornění: Tohle vlákno je hodně staré a informace nemusí být platné pro současné Nette.
před 8 lety
treawouw@docmail.cz
Člen | 7
+
0
-

problemy s RCE se objevily i v dalsich knihovnach pro posilani mailu

http://thehackernews.com/…endmail.html

chtel bych se zeptat jestli nekdo muze potvrdit, ze v Nette nic takoveho nehrozi?

před 8 lety
Jan Tvrdík
Nette guru | 2595
+
0
-

Viz https://forum.nette.org/…e-2016-10045.

Pokud nenastavuješ ručně Nette\Mail\SendmailMailer::$commandArgs, tak by nic hrozit nemělo.

před 8 lety
David Grudl
Nette Core | 8228
+
0
-

Přesněji, ručně nastavovat můžeš, jen pozor, abys k tomu nepoužívat hodnotu, kterou může poslat/podstrčit útočník. Pokud ano, ověř, že neobsahuje uvozovky nebo lomítka.