This is an automated email from the ASF dual-hosted git repository.

jleroux pushed a commit to branch release18.12
in repository https://gitbox.apache.org/repos/asf/ofbiz-framework.git


The following commit(s) were added to refs/heads/release18.12 by this push:
     new 221ae70  Improved: Secure the uploads (OFBIZ-12080)
221ae70 is described below

commit 221ae70557d3e94513dd2eb2e0db3023dad6f9b6
Author: Jacques Le Roux <jacques.le.r...@les7arts.com>
AuthorDate: Wed Mar 24 19:07:02 2021 +0100

    Improved: Secure the uploads (OFBIZ-12080)
    
    Improves the error message for the file name part
---
 framework/common/config/SecurityUiLabels.xml         | 20 ++++++++++----------
 .../org/apache/ofbiz/security/SecuredUpload.java     |  4 ++--
 2 files changed, 12 insertions(+), 12 deletions(-)

diff --git a/framework/common/config/SecurityUiLabels.xml 
b/framework/common/config/SecurityUiLabels.xml
index 7c31dce..b8ac8d3 100644
--- a/framework/common/config/SecurityUiLabels.xml
+++ b/framework/common/config/SecurityUiLabels.xml
@@ -775,24 +775,24 @@
         <value xml:lang="zh-TW">SecurityViewPermissionError 你沒有權限檢視本頁面. 
(需要"SECURITY_VIEW" 或 "SECURITY_ADMIN")</value>
     </property>
     <property key="SupportedFileFormatsIncludingSvg">
-        <value xml:lang="en">For security reason only valid files of supported 
image formats (GIF, JPEG, PNG, TIFF), SVG, PDF, and ZIP or text files with safe 
contents are accepted.</value>
-        <value xml:lang="fr">Pour des raisons de sécurité, seuls les fichiers 
valides de formats d'image pris en charge (GIF, JPEG, PNG, TIFF), les fichiers 
SVG, PDF, et les fichiers ZIP ou texte aux contenus sûrs sont acceptés.</value>
+        <value xml:lang="en">For security reason only valid files of supported 
image formats (GIF, JPEG, PNG, TIFF), SVG, PDF, and ZIP or text files with safe 
names (only Alpha-Numeric characters, only 1 dot, name and extension not empty) 
and contents are accepted.</value>
+        <value xml:lang="fr">Pour des raisons de sécurité, seuls les fichiers 
valides de formats d'image pris en charge (GIF, JPEG, PNG, TIFF), les fichiers 
SVG, PDF, et les fichiers ZIP ou texte avec des noms sûrs (uniquement des 
caractères alphanumériques, 1 seul point, nom et extension non vides) et aux 
contenus sûrs sont acceptés.</value>
     </property>
      <property key="SupportedFileFormats">
-        <value xml:lang="en">For security reason only valid files of supported 
image formats (GIF, JPEG, PNG, TIFF), PDF or text files with safe contents are 
accepted.</value>
-        <value xml:lang="fr">Pour des raisons de sécurité, seuls les fichiers 
valides de formats d'image pris en charge (GIF, JPEG, PNG, TIFF), les fichiers 
PDF ou les fichiers texte aux contenus sûrs sont acceptés.</value>
+        <value xml:lang="en">For security reason only valid files of supported 
image formats (GIF, JPEG, PNG, TIFF), PDF or text files with safe names (only 
Alpha-Numeric characters, only 1 dot, name and extension not empty) and 
contents are accepted.</value>
+        <value xml:lang="fr">Pour des raisons de sécurité, seuls les fichiers 
valides de formats d'image pris en charge (GIF, JPEG, PNG, TIFF), les fichiers 
PDF ou les fichiers texte avec des noms sûrs (uniquement des caractères 
alphanumériques, 1 seul point, nom et extension non vides) et aux contenus sûrs 
sont acceptés.</value>
     </property>
     <property key="SupportedImageFormatsIncludingSvg">
-        <value xml:lang="en">For security reason only valid files of supported 
image formats (GIF, JPEG, PNG, TIFF), or SVG format are accepted.</value>
-        <value xml:lang="fr">Pour des raisons de sécurité, seuls les fichiers 
valides des formats d'image pris en charge (GIF, JPEG, PNG, TIFF) ou au format 
SVG sont acceptés.</value>
+        <value xml:lang="en">For security reason only valid files of supported 
image formats (GIF, JPEG, PNG, TIFF), or SVG format with safe names (only 
Alpha-Numeric characters, only 1 dot, name and extension not empty) are 
accepted.</value>
+        <value xml:lang="fr">Pour des raisons de sécurité, seuls les fichiers 
valides des formats d'image pris en charge (GIF, JPEG, PNG, TIFF) ou au format 
SVG avec des noms sûrs (uniquement des caractères alphanumériques, 1 seul 
point, nom et extension non vides) sont acceptés.</value>
     </property>
     <property key="SupportedImageFormats">
-        <value xml:lang="en">For security reason only valid files of supported 
image formats (GIF, JPEG, PNG, TIFF) are accepted.</value>
-        <value xml:lang="fr">Pour des raisons de sécurité, seuls les fichiers 
valides des formats d'image pris en charge (GIF, JPEG, PNG, TIFF) sont 
acceptés.</value>
+        <value xml:lang="en">For security reason only valid files of supported 
image formats (GIF, JPEG, PNG, TIFF) with safe names (only Alpha-Numeric 
characters, only 1 dot, name and extension not empty) are accepted.</value>
+        <value xml:lang="fr">Pour des raisons de sécurité, seuls les fichiers 
valides des formats d'image pris en charge (GIF, JPEG, PNG, TIFF) avec des noms 
sûrs (uniquement des caractères alphanumériques, 1 seul point, nom et extension 
non vides) sont acceptés.</value>
     </property>
     <property key="SupportedTextFileFormats">
-        <value xml:lang="en">For security reason only text files with safe 
contents are accepted.</value>
-        <value xml:lang="fr">Pour des raisons de sécurité, seuls les fichiers 
texte dont les contenus sont sûrs sont acceptés.</value>
+        <value xml:lang="en">For security reason only text files with safe 
names (only Alpha-Numeric characters, only 1 dot, name and extension not empty) 
and contents are accepted.</value>
+        <value xml:lang="fr">Pour des raisons de sécurité, seuls les fichiers 
texte dont les contenus et les noms sont sûrs (uniquement des caractères 
alphanumériques, 1 seul point, nom et extension non vides) sont acceptés</value>
     </property>
     <property key="UserLogin">
         <value xml:lang="de">Benutzeranmeldung</value>
diff --git 
a/framework/security/src/main/java/org/apache/ofbiz/security/SecuredUpload.java 
b/framework/security/src/main/java/org/apache/ofbiz/security/SecuredUpload.java
index fe68a73..ef82c82 100644
--- 
a/framework/security/src/main/java/org/apache/ofbiz/security/SecuredUpload.java
+++ 
b/framework/security/src/main/java/org/apache/ofbiz/security/SecuredUpload.java
@@ -114,7 +114,7 @@ public class SecuredUpload {
             } else if (!file.matches("[a-zA-Z0-9]{1,249}.[a-zA-Z0-9]{1,10}")) {
                 Debug.logError("Uploaded file "
                         + " should contain only Alpha-Numeric characters, only 
1 dot as an input for the file name and the extension."
-                        + "The file name and the extension should not be empty 
at all",
+                        + "The file name and extension should not be empty at 
all",
                         MODULE);
                 return false;
             }
@@ -125,7 +125,7 @@ public class SecuredUpload {
             } else if (!file.matches("[a-zA-Z0-9]{1,4086}.[a-zA-Z0-9]{1,10}")) 
{
                 Debug.logError("Uploaded file "
                         + " should contain only Alpha-Numeric characters, only 
1 dot as an input for the file name and the extension."
-                        + "Tthe file name and the extension should not be 
empty at all",
+                        + "Tthe file name and extension should not be empty at 
all",
                         MODULE);
                 return false;
             }

Reply via email to