.werks/1500

   1 Title: Preventing livestatus injections in different places
   2 Level: 2
   3 Component: multisite
   4 Compatible: compat
   5 Version: 1.2.6b1
   6 Date: 1415802792
   7 Class: security
   8
   9 In some places strings provided by the users, e.g. by filling values into a form,
  10 are used to construct livestatus queries. This is, for example, done when filtering
  11 views or executing commands.
  12 Previous versions were directly using the strings provided by the user without
  13 escaping or filtering characters which could lead into some trouble. This has
  14 been fixed now. The strings provided by the user are now filtered before using
  15 them in livestatus queries.
  16 For the moment the only implemented action is to remove all newline (\n) characters
  17 from the values to prevent injections of non intended livestatus queries / commands.