XSS уязвимость в Quip
Новость для всех пользователей компонента комментирования Quip. Если у вас включены теги, то ваш сайт уязвим перед XSS атаками через эти теги.
У всех, без исключений. Если вы, конечно, самостоятельно не фильтруете комментарии при сохранении.
Вот баг-репорт, благодарим за него, как обычно, Евгения Борисова.
Способ лечения один — отключить теги (системная настройка quip.allowed_tags) и ждать заплатку.
Ну или забить на этого дряхлого монстра и уставить себе Tickets, где всё фильтруется by Jevix. Этот сниппет Евгению пока не покорился.
По сравнению с Qup у комментариев Tickets есть очень много преимуществ, а недостаток ровно один — не работает с гостями, требует авторизацию.
У всех, без исключений. Если вы, конечно, самостоятельно не фильтруете комментарии при сохранении.
Вот баг-репорт, благодарим за него, как обычно, Евгения Борисова.
Способ лечения один — отключить теги (системная настройка quip.allowed_tags) и ждать заплатку.
Ну или забить на этого дряхлого монстра и уставить себе Tickets, где всё фильтруется by Jevix. Этот сниппет Евгению пока не покорился.
По сравнению с Qup у комментариев Tickets есть очень много преимуществ, а недостаток ровно один — не работает с гостями, требует авторизацию.
Комментарии: 6
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Если я не ошибаюсь, то modxTalks не требует авторизации и работает с гостями.
Только древовидности там нет by design.
Велком!
Лентяи.