In Versionen vor 1.7.7 des Zend Frameworks befindet sich ein Fehler in der Zend_Filter_StripTags Klasse. Die Klasse ist dafür zuständig anhand einer Whitelist HTML-Tags aus Zeichenketten zu entfernen. Es war aber möglich durch zusätzlichen Whitespace HTML-Code durch die Klasse zu schleusen, der vom Browser ausgeführt wird.

Der Fehler wurde in der Version 1.7.7 behoben, daher wird dringend empfohlen, auf die Version 1.7.7 zu aktualisieren. Ist dies nicht möglich, wurde der Fix auch auf die Versionen 1.6, 1.5 und 1.0 zurückportiert - hier sollte ein entsprechendes Update aus diesen Zweigen stattfinden.

Weiter Informationen:

• Englisch: nabble.com
• Deutsch: zfforum.de

[via: Tobis Blog]