Bug 26189

Summary: the need to escape HTML special chars
Product: Infrastructure Reporter: Michael Shigorin <mike>
Component: packages.altlinux.orgAssignee: Igor Zubkov <icesik>
Status: CLOSED FIXED QA Contact:
Severity: normal    
Priority: P3    
Version: unspecified   
Hardware: all   
OS: Linux   
Bug Depends on:    
Bug Blocks: 22555    

Description Michael Shigorin 2011-08-29 11:12:14 MSK 
На http://packages.altlinux.org/en/Sisyphus/srpms/lv2core читаю:
> More information about LV2 can be found at .

Догадываясь про <http://...>, смотрю в пакет:
> More information about LV2 can be found at <http://lv2plug.in>.

В идеале на сайте ожидаю:
> More information about LV2 can be found at &lt;<a href="http://lv2plug.in">http://lv2plug.in</a>&gt;.

Насколько понимаю, это может быть XSS vuln через спеки как минимум, что может стать критичным при добавлении аутентификации и особенно r/w действиях через сайт.
Comment 1 Igor Zubkov 2011-08-29 16:26:06 MSK 
Подтвержаю. Это XSS. Хотя сами Ruby on Rails должны эскейпить выхлоп. Надо будет написать тесты для такмх случаем, может выяснится что где-то ещё такое есть.
Comment 2 Igor Zubkov 2011-12-22 16:44:18 MSK 
В старых рельсах почему-то helper simple_format не экранировал выхлоп. В новых просто вырезает. Заэскейпил, теперь будет нормально.

Будет в продакшене чуть позже.