Closed kurudrive closed 1 year ago
※脆弱性につき優先度は 超高 にしてあります。
@kurudrive 多分そのページの先祖階層を表示するブロックでも同様の事象が起こると思われます。 他のブランチで作業しますか?それもこのブランチにコミットしますか? ⇒https://github.com/vektor-inc/vk-all-in-one-expansion-unit/pull/904
@doshimaf @drill-lancer レビューありがとうございました。
RICKさんは既に見ていただいたみたいですが、 エスケープ処理を一番最後だけに変更しましたので念の為下記にリンクをおいておきます。
https://github.com/vektor-inc/vk-all-in-one-expansion-unit/pull/906
@doshimaf @drill-lancer 結局 esc_attr はありに戻し https://github.com/vektor-inc/vk-all-in-one-expansion-unit/pull/907
チケットへのリンク / 変更の理由
CTA ブロック で 高度な設定パネルのCSSクラス名を入力する箇所で脆弱性が確認されたため
" onmouseover="alert(/XSS/)" style="background:red;"
を入力して保存どういう変更をしたか?
エスケープ処理追加
レビューに回す前に確認する事
プログラムの変更の場合
変更内容について何を確認したか、どういう方法で確認をしたかなど
確認URL
develop と挙動を比べて欲しいのでローカルでよろしくお願いいたします。
レビュワーの確認方法・確認する内容など
レビュワーに回す前の確認事項
レビュワー向け
確認して変更が反映されていない場合の確認事項