Fix vulnerability in handling _session argument of utils/save-prefs (#1489382)

Aleksander Machniak

2013-10-17 037af6890fe6fdb84a08d3c86083e847c90ec0ad

 program/include/rcmail.php

@@ -56,8 +56,6 @@
  private $action_map = array();


  const JS_OBJECT_NAME = 'rcmail';

  const ERROR_STORAGE          = -2;
  const ERROR_INVALID_REQUEST  = 1;
  const ERROR_INVALID_HOST     = 2;
@@ -94,16 +92,16 @@
    // create user object
    $this->set_user(new rcube_user($_SESSION['user_id']));

    // configure session (after user config merge!)
    $this->session_configure();

    // set task and action properties
    $this->set_task(rcube_utils::get_input_value('_task', rcube_utils::INPUT_GPC));
    $this->action = asciiwords(rcube_utils::get_input_value('_action', rcube_utils::INPUT_GPC));

    // reset some session parameters when changing task
    if ($this->task != 'utils') {
      if ($this->session && $_SESSION['task'] != $this->task)
      // we reset list page when switching to another task
      // but only to the main task interface - empty action (#1489076)
      // this will prevent from unintentional page reset on cross-task requests
      if ($this->session && $_SESSION['task'] != $this->task && empty($this->action))
        $this->session->remove('page');
      // set current task to session
      $_SESSION['task'] = $this->task;
@@ -210,18 +208,31 @@
      }
    }

    // when user requested default writeable addressbook
    // we need to check if default is writeable, if not we
    // will return first writeable book (if any exist)
    if ($contacts && $default && $contacts->readonly && $writeable) {
      $contacts = null;
    }

    // Get first addressbook from the list if configured default doesn't exist
    // This can happen when user deleted the addressbook (e.g. Kolab folder)
    if (!$contacts && (!$id || $default)) {
      $source = reset($this->get_address_sources($writeable));
      $source = reset($this->get_address_sources($writeable, !$default));
      if (!empty($source)) {
        $contacts = $this->get_address_book($source['id']);
        if ($contacts)
        if ($contacts) {
          $id = $source['id'];
        }
      }
    }

    if (!$contacts) {
      // there's no default, just return
      if ($default) {
        return null;
      }

      self::raise_error(array(
        'code' => 700, 'type' => 'php',
        'file' => __FILE__, 'line' => __LINE__,
@@ -229,18 +240,36 @@
        true, true);
    }

    // add to the 'books' array for shutdown function
    $this->address_books[$id] = $contacts;

    if ($writeable && $contacts->readonly) {
      return null;
    }

    // set configured sort order
    if ($sort_col = $this->config->get('addressbook_sort_col'))
    if ($sort_col = $this->config->get('addressbook_sort_col')) {
        $contacts->set_sort_order($sort_col);

    // add to the 'books' array for shutdown function
    $this->address_books[$id] = $contacts;
    }

    return $contacts;
  }


  /**
   * Return identifier of the address book object
   *
   * @param rcube_addressbook Addressbook source object
   *
   * @return string Source identifier
   */
  public function get_address_book_id($object)
  {
    foreach ($this->address_books as $index => $book) {
      if ($book === $object) {
        return $index;
      }
    }
  }


@@ -248,18 +277,19 @@
   * Return address books list
   *
   * @param boolean True if the address book needs to be writeable
   * @param boolean True if the address book needs to be not hidden
   *
   * @return array  Address books array
   */
  public function get_address_sources($writeable = false)
  public function get_address_sources($writeable = false, $skip_hidden = false)
  {
    $abook_type = strtolower($this->config->get('address_book_type'));
    $ldap_config = $this->config->get('ldap_public');
    $autocomplete = (array) $this->config->get('autocomplete_addressbooks');
    $list = array();

    // We are using the DB address book
    if ($abook_type != 'ldap') {
    // We are using the DB address book or a plugin address book
    if ($abook_type != 'ldap' && $abook_type != '') {
      if (!isset($this->address_books['0']))
        $this->address_books['0'] = new rcube_contacts($this->db, $this->get_user_id());
      $list['0'] = array(
@@ -281,8 +311,8 @@
        }
        $list[$id] = array(
          'id'       => $id,
          'name'     => $prop['name'],
          'groups'   => is_array($prop['groups']),
          'name'     => html::quote($prop['name']),
          'groups'   => !empty($prop['groups']) || !empty($prop['group_filters']),
          'readonly' => !$prop['writable'],
          'hidden'   => $prop['hidden'],
          'autocomplete' => in_array($id, $autocomplete)
@@ -295,11 +325,17 @@

    foreach ($list as $idx => $item) {
      // register source for shutdown function
      if (!is_object($this->address_books[$item['id']]))
      if (!is_object($this->address_books[$item['id']])) {
        $this->address_books[$item['id']] = $item;
      }
      // remove from list if not writeable as requested
      if ($writeable && $item['readonly'])
      if ($writeable && $item['readonly']) {
          unset($list[$idx]);
      }
      // remove from list if hidden as requested
      else if ($skip_hidden && $item['hidden']) {
          unset($list[$idx]);
      }
    }

    return $list;
@@ -308,22 +344,21 @@

  /**
   * Init output object for GUI and add common scripts.
   * This will instantiate a rcmail_template object and set
   * This will instantiate a rcmail_output_html object and set
   * environment vars according to the current session and configuration
   *
   * @param boolean True if this request is loaded in a (i)frame
   * @return rcube_output_html Reference to HTML output object
   * @return rcube_output Reference to HTML output object
   */
  public function load_gui($framed = false)
  {
    // init output page
    if (!($this->output instanceof rcube_output_html))
      $this->output = new rcube_output_html($this->task, $framed);
    if (!($this->output instanceof rcmail_output_html))
      $this->output = new rcmail_output_html($this->task, $framed);

    // set keep-alive/check-recent interval
    if ($this->session && ($keep_alive = $this->session->get_keep_alive())) {
      $this->output->set_env('keep_alive', $keep_alive);
    }
    // set refresh interval
    $this->output->set_env('refresh_interval', $this->config->get('refresh_interval', 0));
    $this->output->set_env('session_lifetime', $this->config->get('session_lifetime', 0) * 60);

    if ($framed) {
      $this->comm_path .= '&_framed=1';
@@ -333,10 +368,10 @@
    $this->output->set_env('task', $this->task);
    $this->output->set_env('action', $this->action);
    $this->output->set_env('comm_path', $this->comm_path);
    $this->output->set_charset(RCMAIL_CHARSET);
    $this->output->set_charset(RCUBE_CHARSET);

    // add some basic labels to client
    $this->output->add_label('loading', 'servererror', 'requesttimedout');
    $this->output->add_label('loading', 'servererror', 'requesttimedout', 'refreshing');

    return $this->output;
  }
@@ -345,12 +380,12 @@
  /**
   * Create an output object for JSON responses
   *
   * @return rcube_output_json Reference to JSON output object
   * @return rcube_output Reference to JSON output object
   */
  public function json_init()
  {
    if (!($this->output instanceof rcube_output_json))
      $this->output = new rcube_output_json($this->task);
    if (!($this->output instanceof rcmail_output_json))
      $this->output = new rcmail_output_json($this->task);

    return $this->output;
  }
@@ -452,6 +487,10 @@
        $username .= '@'.rcube_utils::parse_host($config['username_domain'], $host);
    }

    if (!isset($config['login_lc'])) {
      $config['login_lc'] = 2; // default
    }

    // Convert username to lowercase. If storage backend
    // is case-insensitive we need to store always the same username (#1487113)
    if ($config['login_lc']) {
@@ -483,21 +522,7 @@
    $storage = $this->get_storage();

    // try to log in
    if (!($login = $storage->connect($host, $username, $pass, $port, $ssl))) {
      // try with lowercase
      $username_lc = mb_strtolower($username);
      if ($username_lc != $username) {
        // try to find user record again -> overwrite username
        if (!$user && ($user = rcube_user::query($username_lc, $host)))
          $username_lc = $user->data['username'];

        if ($login = $storage->connect($host, $username_lc, $pass, $port, $ssl))
          $username = $username_lc;
      }
    }

    // exit if login failed
    if (!$login) {
    if (!$storage->connect($host, $username, $pass, $port, $ssl)) {
      return false;
    }

@@ -532,7 +557,6 @@
      // Configure environment
      $this->set_user($user);
      $this->set_storage_prop();
      $this->session_configure();

      // fix some old settings according to namespace prefix
      $this->fix_namespace_settings($user);
@@ -552,9 +576,7 @@
      $_SESSION['login_time']   = time();

      if (isset($_REQUEST['_timezone']) && $_REQUEST['_timezone'] != '_default_')
        $_SESSION['timezone'] = floatval($_REQUEST['_timezone']);
      if (isset($_REQUEST['_dstactive']) && $_REQUEST['_dstactive'] != '_default_')
        $_SESSION['dst_active'] = intval($_REQUEST['_dstactive']);
        $_SESSION['timezone'] = rcube_utils::get_input_value('_timezone', rcube_utils::INPUT_GPC);

      // force reloading complete list of subscribed mailboxes
      $storage->clear_cache('mailboxes', true);
@@ -787,6 +809,7 @@
    }
  }


  /**
   * Registers action aliases for current task
   *
@@ -801,6 +824,7 @@
    }
  }


  /**
   * Returns current action filename
   *
@@ -814,6 +838,7 @@

    return strtr($this->action, '-', '_') . '.inc';
  }


  /**
   * Fixes some user preferences according to namespace handling change.
@@ -934,15 +959,30 @@
     * @param object $message    Reference to Mail_MIME object
     * @param string $from       Sender address string
     * @param array  $mailto     Array of recipient address strings
     * @param array  $smtp_error SMTP error array (reference)
     * @param array  $error      SMTP error array (reference)
     * @param string $body_file  Location of file with saved message body (reference),
     *                           used when delay_file_io is enabled
     * @param array  $smtp_opts  SMTP options (e.g. DSN request)
     * @param array  $options    SMTP options (e.g. DSN request)
     *
     * @return boolean Send status.
     */
    public function deliver_message(&$message, $from, $mailto, &$smtp_error, &$body_file = null, $smtp_opts = null)
    public function deliver_message(&$message, $from, $mailto, &$error, &$body_file = null, $options = null)
    {
        $plugin = $this->plugins->exec_hook('message_before_send', array(
            'message' => $message,
            'from'    => $from,
            'mailto'  => $mailto,
            'options' => $options,
        ));

        if ($plugin['abort']) {
            return isset($plugin['result']) ? $plugin['result'] : false;
        }

        $from    = $plugin['from'];
        $mailto  = $plugin['mailto'];
        $options = $plugin['options'];
        $message = $plugin['message'];
        $headers = $message->headers();

        // send thru SMTP server using custom SMTP library
@@ -985,15 +1025,15 @@
                $this->smtp_init(true);
            }

            $sent = $this->smtp->send_mail($from, $a_recipients, $smtp_headers, $msg_body, $smtp_opts);
            $smtp_response = $this->smtp->get_response();
            $smtp_error = $this->smtp->get_error();
            $sent     = $this->smtp->send_mail($from, $a_recipients, $smtp_headers, $msg_body, $options);
            $response = $this->smtp->get_response();
            $error    = $this->smtp->get_error();

            // log error
            if (!$sent) {
                self::raise_error(array('code' => 800, 'type' => 'smtp',
                    'line' => __LINE__, 'file' => __FILE__,
                    'message' => "SMTP error: ".join("\n", $smtp_response)), TRUE, FALSE);
                    'message' => "SMTP error: ".join("\n", $response)), TRUE, FALSE);
            }
        }
        // send mail using PHP's mail() function
@@ -1035,7 +1075,7 @@
                    $subject    = str_replace("\r\n", $delim, $subject);
                }

                if (ini_get('safe_mode'))
                if (filter_var(ini_get('safe_mode'), FILTER_VALIDATE_BOOLEAN))
                    $sent = mail($to, $subject, $msg_body, $header_str);
                else
                    $sent = mail($to, $subject, $msg_body, $header_str, "-f$from");
@@ -1061,7 +1101,7 @@
                    $this->user->get_username(),
                    $_SERVER['REMOTE_ADDR'],
                    $mailto,
                    !empty($smtp_response) ? join('; ', $smtp_response) : ''));
                    !empty($response) ? join('; ', $response) : ''));
            }
        }

@@ -1209,7 +1249,7 @@
        }
        else {
            if (!empty($date)) {
                $timestamp = rcube_strtotime($date);
                $timestamp = rcube_utils::strtotime($date);
            }

            if (empty($timestamp)) {
@@ -1395,6 +1435,7 @@
            $js_mailboxlist = array();
            $out = html::tag('ul', $attrib, $rcmail->render_folder_tree_html($a_mailboxes, $mbox_name, $js_mailboxlist, $attrib), html::$common_attrib);

            $rcmail->output->include_script('treelist.js');
            $rcmail->output->add_gui_object('mailboxlist', $attrib['id']);
            $rcmail->output->set_env('mailboxes', $js_mailboxlist);
            $rcmail->output->set_env('unreadwrap', $attrib['unreadwrap']);
@@ -1564,7 +1605,7 @@
            $html_name = $this->Q($foldername) . ($unread ? html::span('unreadcount', sprintf($attrib['unreadwrap'], $unread)) : '');
            $link_attrib = $folder['virtual'] ? array() : array(
                'href' => $this->url(array('_mbox' => $folder['id'])),
                'onclick' => sprintf("return %s.command('list','%s',this)", rcmail::JS_OBJECT_NAME, $js_name),
                'onclick' => sprintf("return %s.command('list','%s',this)", rcmail_output::JS_OBJECT_NAME, $js_name),
                'rel' => $folder['id'],
                'title' => $title,
            );
@@ -1573,14 +1614,13 @@
                'id' => "rcmli".$folder_id,
                'class' => join(' ', $classes),
                'noclose' => true),
                html::a($link_attrib, $html_name) .
                (!empty($folder['folders']) ? html::div(array(
                    'class' => ($is_collapsed ? 'collapsed' : 'expanded'),
                    'style' => "position:absolute",
                    'onclick' => sprintf("%s.command('collapse-folder', '%s')", rcmail::JS_OBJECT_NAME, $js_name)
                ), ' ') : ''));
                html::a($link_attrib, $html_name));

            $jslist[$folder_id] = array(
            if (!empty($folder['folders'])) {
                $out .= html::div('treetoggle ' . ($is_collapsed ? 'collapsed' : 'expanded'), ' ');
            }

            $jslist[$folder['id']] = array(
                'id'      => $folder['id'],
                'name'    => $foldername,
                'virtual' => $folder['virtual']
@@ -1774,10 +1814,7 @@
        $err_code = $this->storage->get_error_code();
        $res_code = $this->storage->get_response_code();

        if ($err_code < 0) {
            $this->output->show_message('storageerror', 'error');
        }
        else if ($res_code == rcube_storage::NOPERM) {
        if ($res_code == rcube_storage::NOPERM) {
            $this->output->show_message('errornoperm', 'error');
        }
        else if ($res_code == rcube_storage::READONLY) {
@@ -1791,6 +1828,9 @@
            else {
                $this->output->show_message('servererrormsg', 'error', array('msg' => $err_str));
            }
        }
        else if ($err_code < 0) {
            $this->output->show_message('storageerror', 'error');
        }
        else if ($fallback) {
            $this->output->show_message($fallback, 'error', $fallback_args);
@@ -1915,7 +1955,8 @@
    public function upload_init()
    {
        // Enable upload progress bar
        if (($seconds = $this->config->get('upload_progress')) && ini_get('apc.rfc1867')) {
        $rfc1867 = filter_var(ini_get('apc.rfc1867'), FILTER_VALIDATE_BOOLEAN);
        if ($rfc1867 && ($seconds = $this->config->get('upload_progress'))) {
            if ($field_name = ini_get('apc.rfc1867_name')) {
                $this->output->set_env('upload_progress_name', $field_name);
                $this->output->set_env('upload_progress_time', (int) $seconds);
@@ -2027,30 +2068,6 @@


    /**
     * Quote a given string.
     * Shortcut function for rcube_utils::rep_specialchars_output()
     *
     * @return string HTML-quoted string
     */
    public static function Q($str, $mode = 'strict', $newlines = true)
    {
        return rcube_utils::rep_specialchars_output($str, 'html', $mode, $newlines);
    }


    /**
     * Quote a given string for javascript output.
     * Shortcut function for rcube_utils::rep_specialchars_output()
     *
     * @return string JS-quoted string
     */
    public static function JQ($str)
    {
        return rcube_utils::rep_specialchars_output($str, 'js');
    }


    /**
     * Returns real size (calculated) of the message part
     *
     * @param rcube_message_part  Message part
@@ -2112,16 +2129,14 @@

            if (!$storage->connect($host, $user, $pass, $port, $ssl)) {
                if (is_object($this->output)) {
                    $error = $storage->get_error_code() == -1 ? 'storageerror' : 'sessionerror';
                    $this->output->show_message($error, 'error');
                    $this->output->show_message('storageerror', 'error');
                }
            }
            else {
                $this->set_storage_prop();
                return $storage->is_connected();
            }
        }

        return false;
        return $storage->is_connected();
    }
}