Vulnerabilidad XSS mediante atributos de componentes
Gracias @diemkay por favor consulta este problema si tienes alguna sugerencia: https://github.com/artf/grapesjs/issues/3082
Lee la respuesta completa abajo ↓Pregunta
Versión GrapesJS
- Confirmo que se debe usar la última versión de GrapesJS
¿Qué navegador usas?
Chrome 97.0.4692.71
Enlace de demo reproducible
https://jsfiddle.net/ovrz5ug2/4/
Describe el bicho
Hola, nos encontramos con esta vulnerabilidad XSS usando GrapesJS en un escenario multijugador, con varios usuarios privilegiados que pueden hacer cambios en plantillas y componentes a través del editor (es decir, no desarrolladores). En la práctica, esto les hace vulnerables a un ataque desde dentro de la organización, donde un usuario añade código malicioso y otro puede encontrarlo y ejecutarlo.
¿Cómo reproducir el bicho?
- Añadir código malicioso al atributo 'id' de un componente, ya sea directamente en HTML o a través del gestor de rasgos (y guardar) - en este caso, 'id="<details/open/ontoggle=alert(document.location)>'
- Haz clic en el componente en la vista previa en vivo y observa la alerta O a través del Gestor de Estilos, al usar el desplegable de estado del componente y cambiarlo a otro estado, por ejemplo, pasar el cursor
¿Cuál es el comportamiento esperado? No hay XSS a través de los atributos del componente (incluyendo, pero no limitado a, 'id').
¿Cuál es el comportamiento actual? GrapesJS ejecuta el código malicioso.
Si es necesario ejecutar algo de código para reproducir el error, pégalo aquí abajo: '''js Véase arriba, añadir este código al atributo del componente, por ejemplo, ID <detalles/open/ontoggle=alerta(document.location)>
Si tienes algún consejo o recomendación, podría echarte una mano con un récord personal.
### Código de conducta
- [X] Acepto seguir el Código de Conducta de este proyecto
Respuestas (4)
Gracias @diemkay por favor consulta este problema si tienes alguna sugerencia: https://github.com/artf/grapesjs/issues/3082
@artf Gracias, pero ya he visto esa multa y no cubre el problema que describo aquí.
La inyección no está en Vista Previa en Vivo, está en el Gestor de Estilos, donde intenta mostrar el 'id' del componente configurando '.innerHtml'.
Sí, perdón, cerré demasiado pronto 😁. Intentaré arreglarlo para la próxima entrega.
Gracias por informar de esto, @diemkay.
Los problemas de seguridad y dependencias son importantes. El equipo de GrapesJS trabaja activamente para mantener las dependencias actualizadas.
Para ti ahora mismo:
- Ejecutar 'npm audit fix' para ver los parches disponibles
- Busca una versión más reciente de GrapesJS que ya haya solucionado esto
- Si está disponible, prueba la última versión estable antes de actualizar
- Si la vulnerabilidad es crítica, 'npm audit fix ---force' es una opción, pero prueba a fondo
Entendiendo el riesgo:
- Revisar los detalles específicos de vulnerabilidades en los Avisos de Seguridad de GitHub
- No todos los problemas de alta gravedad afectan a tu ruta de código
- Algunas vulnerabilidades solo se activan bajo condiciones específicas
Manteniéndome al día:
- Atentos a nuevos lanzamientos de GrapesJS
- Suscribirse a las notificaciones de seguridad en el repositorio
- El equipo prioriza las actualizaciones de seguridad en su ciclo de lanzamiento
Preguntas y respuestas relacionadas
Continúa investigando con debates sobre temas similares.
Issue #4411
XSS al añadir el nombre de la clase al Selector Manager
Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Chrome v102 Enlace de demo reproducible h...
Issue #6096
La caja redimensionable desaparece al volver a seleccionar componentes
Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Chrome Enlace de demo reproducible https:...
Issue #5990
Cuando eliminas un componente, las clases duplicadas entre componentes se eliminan.
Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Chrome 126.0.6478.127 (Windows) Enlace de...
Issue #4576
Al hacer clic en 'envolver para estilo' afecta los componentes internos de otros componentes dentro del mismo cuadro de texto
Versión GrapesJS[X] Confirmo que se debe usar la última versión de GrapesJS¿Qué navegador usas? Chrome 104.0.5112.101 Enlace de demo reprod...
Plugins de pago que cumplen con este problema
Seleccionado por temas clave y relevancia de etiquetas para ayudarte a enviar más rápido.
Cargando recomendaciones de plugins de pago...
Consulta los plugins de código abierto de GrapesJS en GitHub O haz una búsqueda rápida en nuestro catálogo gratuito.
Explora plugins gratuitos →Los plugins premium incluyen soporte, actualizaciones regulares y funciones listas para producción — ahorrando días de trabajo de integración.
Explora plugins premium →Tutoriales relacionados
Guías detalladas sobre el mismo tema.
Tutorial
How to Build a Production GrapesJS Editor: The Complete Walkthrough of Brief, Preset, Plugins, and Services
A complete walkthrough of building a production GrapesJS editor: how to choose a preset, pick plugins, and scope setup services without burning a sprint.
Tutorial
Big Updates: TinyMCE 8 and Placeholder 2.0 for GrapesJS
In May we shipped major updates to two of our most popular GrapesJS plugins — TinyMCE Inline Text Editor and Placeholder.
Tutorial
Find the Right GrapesJS Plugin in Seconds: Smarter Discovery Is Live
We're shipping a set of discovery upgrades. New label filters, a proper compatibility switch for GrapesJS vs Studio, one-click and a smarter sort bar.
Explorar categorías de plugins
Ve directamente a las páginas de categorías de plugins en el marketplace.