]> git.p6c8.net - jirafeau_mojo42.git/blobdiff - admin.php
admin.php: fix authentication bypass vulnerability
[jirafeau_mojo42.git] / admin.php
index 555e76aae0bd36ea13484b8816a2b9686e5458cd..a0ae04b6d3bca449b9a5d11f62571ea9def1da8f 100644 (file)
--- a/admin.php
+++ b/admin.php
@@ -53,7 +53,7 @@ if (isset ($_POST['action']) && (strcmp ($_POST['action'], 'logout') == 0))
 /* Check classic admin password authentification. */
 if (isset ($_POST['admin_password']) && empty($cfg['admin_http_auth_user']))
 {
 /* Check classic admin password authentification. */
 if (isset ($_POST['admin_password']) && empty($cfg['admin_http_auth_user']))
 {
-    if (strcmp ($cfg['admin_password'], $_POST['admin_password']) == 0)
+    if ($cfg['admin_password'] === $_POST['admin_password'])
         $_SESSION['admin_auth'] = true;
     else
     {
         $_SESSION['admin_auth'] = true;
     else
     {
@@ -128,8 +128,9 @@ if (!(isset ($_POST['action']) && strcmp ($_POST['action'], 'download') == 0))
 {
         require (JIRAFEAU_ROOT . 'lib/template/header.php');
         ?><h2><?php echo t('Admin interface'); ?></h2><?php
 {
         require (JIRAFEAU_ROOT . 'lib/template/header.php');
         ?><h2><?php echo t('Admin interface'); ?></h2><?php
+        ?><h2>(version <?php echo JIRAFEAU_VERSION ?>)</h2><?php
 
 
-        ?><div id = "install">
+        ?><div id = "admin">
         <fieldset><legend><?php echo t('Actions');?></legend>
         <table>
         <form action = "<?php echo basename(__FILE__); ?>" method = "post">
         <fieldset><legend><?php echo t('Actions');?></legend>
         <table>
         <form action = "<?php echo basename(__FILE__); ?>" method = "post">
@@ -212,8 +213,8 @@ if (!(isset ($_POST['action']) && strcmp ($_POST['action'], 'download') == 0))
         </form>
         </table>
         <form action = "<?php echo basename(__FILE__); ?>" method = "post">
         </form>
         </table>
         <form action = "<?php echo basename(__FILE__); ?>" method = "post">
-        <input type = "hidden" name = "action" value = "logout"/>
-        <input type = "submit" value = "<?php echo t('Logout'); ?>" />
+            <input type = "hidden" name = "action" value = "logout" />
+            <input type = "submit" value = "<?php echo t('Logout'); ?>" />
         </form>
         </fieldset></div><?php
 }
         </form>
         </fieldset></div><?php
 }

patrick-canterino.de