search

vektor-inc / vk-all-in-one-expansion-unit

wordpress plugin of powerful support
https://ja.wordpress.org/plugins/vk-all-in-one-expansion-unit/
GNU General Public License v2.0
7 stars 1 forks source link

[ CTA ] Cope with XSS / ブロックの脆弱性対応 #902

Closed kurudrive closed 1 year ago

kurudrive commented 1 year ago

チケットへのリンク / 変更の理由

CTA ブロック で 高度な設定パネルのCSSクラス名を入力する箇所で脆弱性が確認されたため

  1. 適当にCTAを登録
  2. CTA ブロックを配置して作成済みのCTAを選択
  3. ブロックのCSSクラス名入力欄に " onmouseover="alert(/XSS/)" style="background:red;" を入力して保存
  4. 編集画面・公開画面ともにアラートがでて、背景が赤になる

どういう変更をしたか?

エスケープ処理追加

レビューに回す前に確認する事

プログラムの変更の場合

変更内容について何を確認したか、どういう方法で確認をしたかなど

確認URL

develop と挙動を比べて欲しいのでローカルでよろしくお願いいたします。

レビュワーの確認方法・確認する内容など

レビュワーに回す前の確認事項

レビュワー向け

確認して変更が反映されていない場合の確認事項

kurudrive commented 1 year ago

※脆弱性につき優先度は 超高 にしてあります。

drill-lancer commented 1 year ago

@kurudrive 多分そのページの先祖階層を表示するブロックでも同様の事象が起こると思われます。 他のブランチで作業しますか?それもこのブランチにコミットしますか? ⇒https://github.com/vektor-inc/vk-all-in-one-expansion-unit/pull/904

kurudrive commented 1 year ago

@doshimaf @drill-lancer レビューありがとうございました。

RICKさんは既に見ていただいたみたいですが、 エスケープ処理を一番最後だけに変更しましたので念の為下記にリンクをおいておきます。

https://github.com/vektor-inc/vk-all-in-one-expansion-unit/pull/906

kurudrive commented 1 year ago

@doshimaf @drill-lancer 結局 esc_attr はありに戻し https://github.com/vektor-inc/vk-all-in-one-expansion-unit/pull/907