Bug 26189 - the need to escape HTML special chars
Summary: the need to escape HTML special chars
Status: CLOSED FIXED
Alias: None
Product: Infrastructure
Classification: Infrastructure
Component: packages.altlinux.org (show other bugs)
Version: unspecified
Hardware: all Linux
: P3 normal
Assignee: Igor Zubkov
QA Contact:
URL:
Keywords:
Depends on:
Blocks: 22555
  Show dependency tree
 
Reported: 2011-08-29 11:12 MSK by Michael Shigorin
Modified: 2011-12-22 16:44 MSK (History)
0 users

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Michael Shigorin 2011-08-29 11:12:14 MSK
На http://packages.altlinux.org/en/Sisyphus/srpms/lv2core читаю:
> More information about LV2 can be found at .

Догадываясь про <http://...>, смотрю в пакет:
> More information about LV2 can be found at <http://lv2plug.in>.

В идеале на сайте ожидаю:
> More information about LV2 can be found at &lt;<a href="http://lv2plug.in">http://lv2plug.in</a>&gt;.

Насколько понимаю, это может быть XSS vuln через спеки как минимум, что может стать критичным при добавлении аутентификации и особенно r/w действиях через сайт.
Comment 1 Igor Zubkov 2011-08-29 16:26:06 MSK
Подтвержаю. Это XSS. Хотя сами Ruby on Rails должны эскейпить выхлоп. Надо будет написать тесты для такмх случаем, может выяснится что где-то ещё такое есть.
Comment 2 Igor Zubkov 2011-12-22 16:44:18 MSK
В старых рельсах почему-то helper simple_format не экранировал выхлоп. В новых просто вырезает. Заэскейпил, теперь будет нормально.

Будет в продакшене чуть позже.