#26189 – the need to escape HTML special chars

Bug 26189 - the need to escape HTML special chars

Summary: the need to escape HTML special chars

Status:	CLOSED FIXED

Alias:	None

Product:	Infrastructure
Classification:	Infrastructure
Component:	packages.altlinux.org (show other bugs)
Version:	unspecified
Hardware:	all Linux

Importance:	P3 normal
Assignee:	Igor Zubkov
QA Contact:

URL:
Keywords:

Depends on:
Blocks:	22555
	Show dependency tree

Reported:	2011-08-29 11:12 MSK by Michael Shigorin
Modified:	2011-12-22 16:44 MSK (History)
CC List:	0 users

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Michael Shigorin 2011-08-29 11:12:14 MSK

На http://packages.altlinux.org/en/Sisyphus/srpms/lv2core читаю:
> More information about LV2 can be found at .

Догадываясь про <http://...>, смотрю в пакет:
> More information about LV2 can be found at <http://lv2plug.in>.

В идеале на сайте ожидаю:
> More information about LV2 can be found at &lt;<a href="http://lv2plug.in">http://lv2plug.in</a>&gt;.

Насколько понимаю, это может быть XSS vuln через спеки как минимум, что может стать критичным при добавлении аутентификации и особенно r/w действиях через сайт.

Comment 1 Igor Zubkov 2011-08-29 16:26:06 MSK

Подтвержаю. Это XSS. Хотя сами Ruby on Rails должны эскейпить выхлоп. Надо будет написать тесты для такмх случаем, может выяснится что где-то ещё такое есть.

Comment 2 Igor Zubkov 2011-12-22 16:44:18 MSK

В старых рельсах почему-то helper simple_format не экранировал выхлоп. В новых просто вырезает. Заэскейпил, теперь будет нормально.

Будет в продакшене чуть позже.