Merge pull request #7 from HelloAsso/sec/ifram-xss

Sec/iframe xss

Author: rockynox

README.txt

@@ -5,7 +5,7 @@ Tags: helloasso, paiement, association, crowdfunding, don
 Requires at least: 4.0
 Tested up to: 6.4.3
 Requires PHP: 7.2.34
-Stable tag: 1.1.9
+Stable tag: 1.1.10
 License: GPLv2 or later
 License URI: http://www.gnu.org/licenses/gpl-2.0.html
 
@@ -81,6 +81,9 @@ https://www.youtube.com/watch?v=Bjaqc_Yun8g
 
 == Changelog ==
 
+= 1.1.10 =
+* Correction d'une faille XSS possible sur l'insertion de l'iframe
+
 = 1.1.9 =
 * Ajout de la possibilité de spécifier une hauteur dans le shortcode afin de voir les formulaires de don en entier.
 * Correction d'un bug provoquant une erreur critique lors de la liaison d'une assication sans campagne.

admin/view/template/footer.php

@@ -21,5 +21,5 @@
     <path fill="url(#SVGID_3_)" d="M13.5 8.1c11.9-1.3 25.4 11 23.7 13.9 3.3-5.8 4.1-15.1-7.5-20.4C18.6-2.9 6 2.5 1.6 13.7.2 17.2-.3 21 .2 24.7-.6 11.9 9.1 8.5 13.5 8.1z"/>
   </svg>
 
-  <div class="ha-copyright">Tous droits réservés © <?= esc_html(date('Y')); ?> - HelloAsso for Wordpress v1.1.9</div>
+  <div class="ha-copyright">Tous droits réservés © <?= esc_html(date('Y')); ?> - HelloAsso for Wordpress v10</div>
 </div>

hello-asso.php

@@ -16,7 +16,7 @@
  * Plugin Name:       HelloAsso
  * Plugin URI:        https://centredaide.helloasso.com/s/article/paiement-en-ligne-wordpress-integrer-vos-campagnes-helloasso
  * Description:       HelloAsso est la solution gratuite des associations pour collecter des paiements et des dons sur internet.
- * Version:           1.1.9
+ * Version:           1.1.10
  * Author:            HelloAsso
  * Author URI:        https://helloasso.com
  * License:           GPL-2.0+
@@ -36,7 +36,7 @@
  * Start at version 1.0.0 and use SemVer - https://semver.org
  * Rename this for your plugin and update it as you release new versions.
  */
-define('HELLO_ASSO_VERSION', '1.1.9');
+define('HELLO_ASSO_VERSION', '1.1.10');
 
 /**
  * The code that runs during plugin activation.

public/class-hello-asso-public.php

@@ -110,24 +110,27 @@ function ha_shortcode($atts)
 			$type = $atts['type'];
 			$allowed_styles = array(
 			'style' => array(
+			'width' => array(),
 			'height' => array(),
 			'border' => array(),
 				),
 			);
 
+			$pattern = '/^\d+px$/';
+
 			if($type == "widget-bouton")
 			{
-				$height = $atts['height'] ?? "70px";
+				$height = preg_match($pattern, $atts['height'] ?? 0) ? $atts['height'] : "70px";
 				$styleIframe = 'style="width:200px; height:'. $height . '; border:none;"';
 			}
 			else if($type == "widget")
 			{
-				$height = $atts['height'] ?? "750px";
+				$height = preg_match($pattern, $atts['height'] ?? 0) ? $atts['height'] : "750px";
 				$styleIframe = 'style="width:100%; height:'. $height . '; border:none;"';
 			}
 			else if($type == "widget-vignette")
 			{
-				$height = $atts['height'] ?? "450px";
+				$height = preg_match($pattern, $atts['height'] ?? 0) ? $atts['height'] : "450px";
 				$styleIframe = 'style="width:350px; height:'. $height . '; border:none;"';
 			}