Issue #3596💬 RespondidoAbierto el 6 de julio de 2021por aimeosReacciones 0
bugdocumentationsecuritystyle-manager

No se escapan los valores

Respuesta rápidapor aimeos

@artf ¿Cuáles son tus planes? Porque la vulnerabilidad de GrapesJS a XSS es un problema de seguridad bastante grande

Lee la respuesta completa abajo ↓

Pregunta

El código GrapesJS está abierto a problemas con XSS porque los valores se insertan en el DOM sin escapar, por ejemplo, https://github.com/artf/grapesjs/blob/dev/src/asset_manager/view/AssetImageView.js#L30

Si 'model.getFilename()' devuelve '<img src=x onerror=alert(document.cookie)>.jpg', esto puede resultar en una toma de control de la cuenta. En su lugar, el código debería ser, por ejemplo:

    volver '
      <div class="${_.escape(pfx)}name">${_.escape(name)}</div>
      <div class="${_.escape(pfx)}dimensions">${_.escape(dim)}</div>
    `;

Problema similar aquí https://github.com/artf/grapesjs/blob/dev/src/asset_manager/view/AssetImageView.js#L15 y la solución serían iguales:

    volver '
      <div class="${_.escape(pfx)}preview" style="image-background: url('${_.escape(src)}');"></div>
      <div class="${_.escape(pfx)}preview-bg ${_.escape(this.ppfx)}checker-bg"></div>
    `;

Para ser parte del lado guardado, todo lo que se inyecta en código HTML debe ser eliminado.

Respuestas (4)

aimeos14 de julio de 2021

@artf ¿Cuáles son tus planes? Porque la vulnerabilidad de GrapesJS a XSS es un problema de seguridad bastante grande

artf14 de julio de 2021

Sí, gracias por el informe, @aimeos lo arreglaré en la próxima versión seguro.

aimeos14 de julio de 2021

@artf La documentación también utiliza '${var}' para insertar variables en plantillas con frecuencia. Esto también debería cambiarse para evitar que los desarrolladores introduzcan problemas de seguridad sin saberlo.

ClaudeCode17 de mayo de 2026

Gracias por informar de esto, @aimeos.

Los problemas de seguridad y dependencias son importantes. El equipo de GrapesJS trabaja activamente para mantener las dependencias actualizadas.

Para ti ahora mismo:

  1. Ejecutar 'npm audit fix' para ver los parches disponibles
  2. Busca una versión más reciente de GrapesJS que ya haya solucionado esto
  3. Si está disponible, prueba la última versión estable antes de actualizar
  4. Si la vulnerabilidad es crítica, 'npm audit fix ---force' es una opción, pero prueba a fondo

Entendiendo el riesgo:

  • Revisar los detalles específicos de vulnerabilidades en los Avisos de Seguridad de GitHub
  • No todos los problemas de alta gravedad afectan a tu ruta de código
  • Algunas vulnerabilidades solo se activan bajo condiciones específicas

Manteniéndome al día:

  • Atentos a nuevos lanzamientos de GrapesJS
  • Suscribirse a las notificaciones de seguridad en el repositorio
  • El equipo prioriza las actualizaciones de seguridad en su ciclo de lanzamiento

Preguntas y respuestas relacionadas

Continúa investigando con debates sobre temas similares.

Issue #3235

"component:update" no se activa cuando se mueven componentes

Extraído de https://github.com/artf/grapesjs/blob/dev/src/editor/index.js#L33 'component:update' - Se activa cuando un componente se actual...

1 respuestasActualizado el 26 de julio de 2023

Issue #3618

Tamaño del gestor de estilo no configurado en control de imagen

ADVERTENCIA LEE y SIGUE los siguientes 3 pasos, luego ELIMÍNALOS antes de publicar el número Seguir las Directrices de CONTRIBUCIÓN https:/...

2 respuestasActualizado el 13 de julio de 2021

Issue #3261

Cómo personalizar el formato JS de uvas para añadir estilo

ADVERTENCIA LEE y SIGUE los siguientes 3 pasos, luego ELIMÍNALOS antes de publicar el númeroSeguir las Directrices de CONTRIBUCIÓN https://...

1 respuestasActualizado el 17 de febrero de 2021

Issue #5746

El desplazamiento de ColorPicker incorrecto cuando los paneles están fuera del contenedor del editor

Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Chrome v122 Enlace de demo reproducible h...

4 respuestasActualizado el 14 de marzo de 2024

Plugins de pago que cumplen con este problema

Seleccionado por temas clave y relevancia de etiquetas para ayudarte a enviar más rápido.

Ver todos los plugins

Cargando recomendaciones de plugins de pago...

Opción gratuita

Consulta los plugins de código abierto de GrapesJS en GitHub O haz una búsqueda rápida en nuestro catálogo gratuito.

Explora plugins gratuitos →
Opción premium

Los plugins premium incluyen soporte, actualizaciones regulares y funciones listas para producción — ahorrando días de trabajo de integración.

Explora plugins premium →

Tutoriales relacionados

Guías detalladas sobre el mismo tema.

Todos los tutoriales →

Tutorial

Ship to Production Faster: What’s New in GrapesJS Shadcn

Supercharge your page builder! GrapesJS Shadcn adds live drag previews, rich text / commands, dynamic data, and canvas presets to ship to prod faster.

Tutorial

How to Build a Production GrapesJS Editor: The Complete Walkthrough of Brief, Preset, Plugins, and Services

A complete walkthrough of building a production GrapesJS editor: how to choose a preset, pick plugins, and scope setup services without burning a sprint.

Tutorial

GrapesJS Inline RTE Plugins Update: CKEditor 5 v0.1.4 and Froala Inline Text Editor

CKEditor 5 Inline for GrapesJS v0.1.4 fixes Studio SDK toolbar clipping, iframe injection and link balloon bugs. Compare with Froala Inline — both $69.

Explorar categorías de plugins

Ve directamente a las páginas de categorías de plugins en el marketplace.

PresetsPluginsComponentesBloquesActivosMandosI18nCapasEstilosAlmacenesRTEBoletinesPáginas webConstructores de terrenos