关键漏洞信息 漏洞标题: Fix user input from direct get post usage 漏洞ID: #1732987 报告人: Robert Lyon 报告日期: 2017-11-17 漏洞影响 影响版本: - Mahara: Fix Released (Mahara 18.04.0) - 16.10: Fix Released - 17.04: Fix Released - 17.10: Fix Released - 18.04: Fix Released 重要性 重要性: High 状态 状态: Fix Released CVE引用 CVE ID: CVE-2017-17454 漏洞描述 确保数据使用有效的UTF-8编码,丢弃无效字符。 避免空字符和无效Unicode。 将直接$_GET和$_POST调用更改为使用param_exists和param_alpha等方法,如将isset($_POST['myparam'])改成param_exists('myparam'),$_POST['myparam'] = 'cats'改成param_alpha('myparam', null)等。 关键时间点 初始报告: 2017-11-17 补丁开始: 已在补丁中开始处理 (https://reviews.mahara.org/#/c/8191/) 信息类型变更: 从Private Security变为Public Security(2018-01-16) 其他信息 漏洞报告包含公共安全信息,可公开查看。