.
authorReidar Cederqvist <reidar.cederqvist@gmail.com>
Tue, 22 Sep 2015 14:43:04 +0000 (16:43 +0200)
committerMartin Schröder <mkschreder.uk@gmail.com>
Tue, 22 Sep 2015 14:55:40 +0000 (16:55 +0200)
juci/lua/JUCI.lua

index 626bd83..7c263e9 100644 (file)
@@ -27,7 +27,7 @@ function shell(fmt, ...)
                -- This way gets rid of basic forms of injection attacks, but
                -- it still may miss some others that I did not think about. 
                if base.type(v) == "string" then 
-                       arg[k] = v:gsub("[;*|]", "\\%1");
+                       arg[k] = v:gsub("[;*|><\]", "\\%1");
                end
        end
        local p = base.assert(io.popen(string.format(fmt, base.unpack(arg))));