XSS уязвимость в Quip

Новость для всех пользователей компонента комментирования Quip. Если у вас включены теги, то ваш сайт уязвим перед XSS атаками через эти теги.

У всех, без исключений. Если вы, конечно, самостоятельно не фильтруете комментарии при сохранении.

Вот баг-репорт, благодарим за него, как обычно, Евгения Борисова.

Способ лечения один — отключить теги (системная настройка quip.allowed_tags) и ждать заплатку.

Ну или забить на этого дряхлого монстра и уставить себе Tickets, где всё фильтруется by Jevix. Этот сниппет Евгению пока не покорился.

По сравнению с Qup у комментариев Tickets есть очень много преимуществ, а недостаток ровно один — не работает с гостями, требует авторизацию.

Василий Наумкин

16 марта 2013, 19:14

2 559

Комментарии: 6

Евгений Борисов

17 марта 2013, 13:51

ждать заплатку

Я думаю пофиксят не скоро. Pull Request от 23.01.2013 с фиксом XSS в FormIT до сих пор еще не приняли и даже не отреагировали в трекере: tracker.modx.com/issues/9449

не работает с гостями, требует авторизацию

Если я не ошибаюсь, то modxTalks не требует авторизации и работает с гостями.

Василий Наумкин

17 марта 2013, 14:02

Да, наверное.

Только древовидности там нет by design.

Евгений Борисов

19 марта 2013, 09:42

В общем как сказал Шон, что в FormIT 2.2.0 уже исправлена XSS. Но чет я шибко сомневаюсь. Если у кого под рукой будет сайт с FormIT этой версии, то отпишите мне и вместе проверим;-)

Василий Наумкин

19 марта 2013, 09:48

Обновил на modx-minishop.ru, FormIt используется при проверке заказа в корзине.

Велком!

Евгений Борисов

19 марта 2013, 10:33

Бага на месте.

Василий Наумкин

19 марта 2013, 10:44

Ну что тут скажешь?

Лентяи.

Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.

Здесь упомянуты:

Компонент	Текущая версия	Закачки
Tickets	1.13.0-pl от 10.03.2020	19 559
Jevix	1.3.2-pl от 29.03.2019	12 784
miniShop2	4.4.0-pl от 06.08.2024	26 103