Revision f6c60e94
Von Moritz Bunkus vor etwa 17 Jahren hinzugefügt
SL/USTVA.pm | ||
---|---|---|
386 | 386 |
|
387 | 387 |
} else { |
388 | 388 |
|
389 |
if ($form->{error_function}) { |
|
390 |
&{ $form->{error_function} }($msg); |
|
391 |
} else { |
|
392 |
die "Hinweis: $msg\n"; |
|
393 |
} |
|
389 |
die "Hinweis: $msg\n"; |
|
394 | 390 |
} |
395 | 391 |
|
396 | 392 |
$main::lxdebug->leave_sub(); |
Auch abrufbar als: Unified diff
Die Variable $form->{error_function} konnte dazu benutzt werden, die Authentifizierung komplett zu umgehen, indem sie z.B. auf header gesetzt und der HTTP_USER_AGENT vom Client leer gelassen wird. Analog zum SQL-Ledger-Problem, das in CVE-2007-1437 beschrieben wird.