Los caracteres \ y < en contraseñas causan fallos de inicio de sesión

[robertosuarezcinfo]

Las contraseñas que contienen barra invertida () y menor que (<) llegan incompletas al mail del usuario, provocando que no puedan iniciar sesión.

Esto se produce debido a dos cosas:

1. stripslashes() en usermanager.lib.php línea 615 elimina las barras invertidas, reduciendo la longitud de la contraseña (ej: 8 caracteres → 7 caracteres). Si se genera (o se indica en la importación) la contraseña "vK\uUr3n" al usuario le llega al correo "vKuUr3n".

2. Los caracteres < y > se insertan directamente en las plantillas HTML de email sin escapar, haciendo que los navegadores los interpreten como etiquetas HTML. Si se genera (o se indica en la importación) la contraseña "vK<uUr3n", al usuario le llegará "vK"