Oggi abbiamo scoperto un bug in un plugin di SquirrelMail.
Il plugin incriminato è change_sqlpass-3.3-1.2.
In pratica nella funzione get_password_encrypt_string($password) in functions.php il salt non viene quotato, il ritorno della funzione deve essere
return 'encrypt("' . $password . '", "' . $salt . '")';
Nessun commento:
Posta un commento