Fix potential user enumeration issue in list unsubscribe feature

2019-09-27 14:52:41 +02:00 · 2019-09-27 14:52:41 +02:00 · c37c9a0525
parent 632d9ccfeb
commit c37c9a0525
2 changed files with 2 additions and 5 deletions
--- a/public/bin/unsubmaillistpre.php
+++ b/public/bin/unsubmaillistpre.php
@ -71,7 +71,7 @@ if ($result->rowCount() > 0) {
    exit;
 }
 else {
-    header("Location: ../unsub.php?unknown=1");
+    header("Location: ../unsub.php?mailsent=1");
    exit;
 }
 ?>
--- a/public/unsub.php
+++ b/public/unsub.php
@ -29,14 +29,11 @@ echo '<html>
    <title>Abmelden</title>
    </head>
    <body>';
-if (isset($_GET['unknown'])) {
-    echo '<p>Diese Adresse ist dieser Liste nicht zugeordnet</p>';
-}
 if (isset($_GET['unknowntoken'])) {
    echo '<p>Unbekannter Abmeldetoken. Erneut veruschen?</p>';
 }
 if (isset($_GET['mailsent'])) {
-    echo '<h3>Wir haben dir eine Email mit einem Link zur Bestätigung deiner Abmeldung geschickt. Der Link in der Mail ist 2 Tage gültig</h3>';
+    echo '<h3>Falls die angegebene E-Mail-Adresse auf der Mailingliste steht, haben wir dir eine Email mit einem Link zur Bestätigung deiner Abmeldung geschickt. Der Link in der Mail ist 2 Tage gültig</h3>';
 }
 if (isset($_GET['success'])) {
    echo '<p>Erfolgreich abgemeldet</p>';