Issue #4411✓ ResueltoAbierto el 27 de junio de 2022por zgeistReacciones 2
questioncomponentsbugsecuritystyle-manager

XSS al añadir el nombre de la clase al Selector Manager

Respuesta rápidapor artf2

Gracias por el informe, se corregirá en la próxima versión.

Lee la respuesta completa abajo ↓

Pregunta

Versión GrapesJS

  • Confirmo que se debe usar la última versión de GrapesJS

¿Qué navegador usas?

Chrome v102

Enlace de demo reproducible

https://jsfiddle.net/szLp8h4n

Describe el bicho

¿Cómo reproducir el bicho?

  1. Seleccionar cualquier componente
  2. Añadir el nombre de la clase al Selector Manager como '<a href="#"onclick='alert(123)'>check</a>'
  3. Después de hacer clic en el nombre de la clase, recibiste la alerta

¿Cuál es el comportamiento esperado? El nombre de la clase debería evitarse

¿Cuál es el comportamiento actual? JavaScript ejecuta en nombre de clase

¿Necesitas añadir una función de escape a la plantilla https://github.com/artf/grapesjs/blob/dev/src/selector_manager/view/ClassTagView.ts#L13

Código de conducta

  • Acepto seguir el Código de Conducta de este proyecto

Respuestas (4)

👍 Muy útilartf27 de junio de 2022

Gracias por el informe, se corregirá en la próxima versión.

Rawne27 de junio de 2022

También me estoy encontrando con este bug de XSS. Por ejemplo, añadir '><img src=x onerror=alert('XSS')>' a las clases de un componente también hará que aparezca.

zgeist27 de junio de 2022

¡Muchas gracias!

ClaudeCode17 de mayo de 2026

Gracias por informar de esto, @zgeist.

Los problemas de seguridad y dependencias son importantes. El equipo de GrapesJS trabaja activamente para mantener las dependencias actualizadas.

Para ti ahora mismo:

  1. Ejecutar 'npm audit fix' para ver los parches disponibles
  2. Busca una versión más reciente de GrapesJS que ya haya solucionado esto
  3. Si está disponible, prueba la última versión estable antes de actualizar
  4. Si la vulnerabilidad es crítica, 'npm audit fix ---force' es una opción, pero prueba a fondo

Entendiendo el riesgo:

  • Revisar los detalles específicos de vulnerabilidades en los Avisos de Seguridad de GitHub
  • No todos los problemas de alta gravedad afectan a tu ruta de código
  • Algunas vulnerabilidades solo se activan bajo condiciones específicas

Manteniéndome al día:

  • Atentos a nuevos lanzamientos de GrapesJS
  • Suscribirse a las notificaciones de seguridad en el repositorio
  • El equipo prioriza las actualizaciones de seguridad en su ciclo de lanzamiento

Preguntas y respuestas relacionadas

Continúa investigando con debates sobre temas similares.

Issue #4076

Vulnerabilidad XSS mediante atributos de componentes

Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Chrome 97.0.4692.71 Enlace de demo reprod...

4 respuestasActualizado el 25 de enero de 2022

Issue #6096

La caja redimensionable desaparece al volver a seleccionar componentes

Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Chrome Enlace de demo reproducible https:...

4 respuestasActualizado el 6 de septiembre de 2024

Issue #4341

al añadir estilo de borde para componentes Html, css json solo busca para selector de bordes, no para selector de ancho de borde, estilo borde, color-bug:

Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Chrome v101.0.4951.54 Enlace de demo repr...

4 respuestasActualizado el 20 de julio de 2022

Issue #4310

Style Manager es inexacto cuando se usan selectores CSS combinados, que contienen "bout" y componentFirst = true

Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Chrome 100 Enlace de demo reproducible ht...

4 respuestasActualizado el 12 de mayo de 2022

Plugins de pago que cumplen con este problema

Seleccionado por temas clave y relevancia de etiquetas para ayudarte a enviar más rápido.

Ver todos los plugins

Cargando recomendaciones de plugins de pago...

Opción gratuita

Consulta los plugins de código abierto de GrapesJS en GitHub O haz una búsqueda rápida en nuestro catálogo gratuito.

Explora plugins gratuitos →
Opción premium

Los plugins premium incluyen soporte, actualizaciones regulares y funciones listas para producción — ahorrando días de trabajo de integración.

Explora plugins premium →

Tutoriales relacionados

Guías detalladas sobre el mismo tema.

Todos los tutoriales →

Tutorial

How to Build a Production GrapesJS Editor: The Complete Walkthrough of Brief, Preset, Plugins, and Services

A complete walkthrough of building a production GrapesJS editor: how to choose a preset, pick plugins, and scope setup services without burning a sprint.

Tutorial

Big Updates: TinyMCE 8 and Placeholder 2.0 for GrapesJS

In May we shipped major updates to two of our most popular GrapesJS plugins — TinyMCE Inline Text Editor and Placeholder.

Tutorial

Find the Right GrapesJS Plugin in Seconds: Smarter Discovery Is Live

We're shipping a set of discovery upgrades. New label filters, a proper compatibility switch for GrapesJS vs Studio, one-click and a smarter sort bar.

Explorar categorías de plugins

Ve directamente a las páginas de categorías de plugins en el marketplace.

PresetsPluginsComponentesBloquesActivosMandosI18nCapasEstilosAlmacenesRTEBoletinesPáginas webConstructores de terrenos