XSS уязвимость в Quip

Новость для всех пользователей компонента комментирования Quip. Если у вас включены теги, то ваш сайт уязвим перед XSS атаками через эти теги.

У всех, без исключений. Если вы, конечно, самостоятельно не фильтруете комментарии при сохранении.

Вот баг-репорт, благодарим за него, как обычно, Евгения Борисова.

Способ лечения один — отключить теги (системная настройка quip.allowed_tags) и ждать заплатку.

Ну или забить на этого дряхлого монстра и уставить себе Tickets, где всё фильтруется by Jevix. Этот сниппет Евгению пока не покорился.

По сравнению с Qup у комментариев Tickets есть очень много преимуществ, а недостаток ровно один — не работает с гостями, требует авторизацию.
Василий Наумкин
16 марта 2013, 19:14
modx.pro
2 573
0

Комментарии: 6

Евгений Борисов
17 марта 2013, 13:51
0
ждать заплатку
Я думаю пофиксят не скоро. Pull Request от 23.01.2013 с фиксом XSS в FormIT до сих пор еще не приняли и даже не отреагировали в трекере: tracker.modx.com/issues/9449

не работает с гостями, требует авторизацию
Если я не ошибаюсь, то modxTalks не требует авторизации и работает с гостями.
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
6