bsl-language-server icon indicating copy to clipboard operation
bsl-language-server copied to clipboard

Published 20 hours ago verified publisher icon 1c-syntax

Метод Выполнить на Клиенте, диагностируется как на Сервере.

Open Jimmo910 opened this issue 1 year ago • 4 comments

Диагностика

bsl-language-server:ExecuteExternalCodeInCommonModule

Версия

1.13.0

Описание ошибки диагностики

Выполнение произвольного кода в общем модуле на сервере является потенциальной уязвимостью

Пример кода

`Процедура ВыполнитьКоманду(Форма, Команда, Источник) Экспорт

ИменаФормИИхМетодов = ВсеМетодыНашихКоманд();
ИмяМетода = ИменаФормИИхМетодов.Получить(Форма.ИмяФормы);

Выполнить(ИмяМетода);

КонецПроцедуры `

Скриншоты

image

Дополнительная информация

В описание ошибки говорится про Сервер, а у меня Клиент.

Jimmo910 avatar Feb 06 '24 09:02 Jimmo910

@theshadowco Что думаешь? На клиенте тоже уязвимость?

asosnoviy avatar Feb 06 '24 10:02 asosnoviy

если везде уязвимость и нельзя использовать, то зачем оно нам дано....

Jimmo910 avatar Feb 06 '24 10:02 Jimmo910

если везде уязвимость и нельзя использовать, то зачем оно нам дано....

Тут же оно расценивается как "потенциальная уязвимость". Отловили, оценили, пометили как "это не уязвимость, а архитектурное решение"

asosnoviy avatar Feb 06 '24 12:02 asosnoviy