render_bytes: check format, untaint before calling sprintf
authorDietmar Maurer <dietmar@proxmox.com>
Mon, 6 Aug 2018 11:05:23 +0000 (13:05 +0200)
committerDietmar Maurer <dietmar@proxmox.com>
Mon, 6 Aug 2018 11:16:44 +0000 (13:16 +0200)
Signed-off-by: Dietmar Maurer <dietmar@proxmox.com>
src/PVE/CLIFormatter.pm

index dfc3679..2c10318 100644 (file)
@@ -69,6 +69,9 @@ PVE::JSONSchema::register_renderer(
 sub render_bytes {
     my ($value) = @_;
 
+    return $value if $value !~ m/^(\d+)$/;
+    $value = int($1); # untaint for sprintf
+
     my @units = qw(B KiB MiB GiB TiB PiB);
 
     my $max_unit = 0;