No se escapan los valores
El código GrapesJS está abierto a problemas con XSS porque los valores se insertan en el DOM sin escapar, por ejemplo, https://github.com/artf/grapesjs/blob/dev/src/assetmanager/view/AssetImageView.js#L30 Si 'model.getFilename()' devuelve '<img src=x onerror=alert(document.cookie)>.jpg', esto puede resultar en una tom...
aimeos
@artf ¿Cuáles son tus planes? Porque la vulnerabilidad de GrapesJS a XSS es un problema de seguridad bastante grande
artf
Sí, gracias por el informe, @aimeos lo arreglaré en la próxima versión seguro.
aimeos
@artf La documentación también utiliza '${var}' para insertar variables en plantillas con frecuencia. Esto también debería cambiarse para evitar que los desarrolladores introduzcan problemas de seguridad sin saberlo.