streamaserver/streama

XSS in the Upload Poster feature using an SVG image

Open

#1 088 ouverte le 13 sept. 2021

Voir sur GitHub
 (0 commentaires) (1 réaction) (0 assignés)JavaScript (9 565 stars) (977 forks)batch import
BugHelp wanted

Description

If uploading a SVG file in the poster file browser containing a script tag, this script tag will be executed when opening the file. example file:

<?xml version="1.0" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">

<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg" id="mysvg">
<script>
alert(document.cookie);
</script>
</svg>

Guide contributeur

Stack technique
javascripthtml
Domaine
securityfrontend
Type d'issue
bug
DifficultéDifficulté estimée pour un nouveau contributeur, de 1 pour un très petit changement à 5 pour un travail expert.
3
Temps estiméFourchette de temps approximative pour investiguer, implémenter, tester et préparer une pull request.
1-3 hours
Statut d'activitéDisponibilité apparente de l'issue : fraîche, active, ancienne, bloquée ou en attente d'un mainteneur.
stale
ClartéClarté avec laquelle l'issue explique le changement attendu, les critères d'acceptation et la prochaine étape.
clear
Prérequis
Basic knowledge of XSSUnderstanding of file upload handling
Accessibilité débutantScore de 1 à 100 estimant l'accessibilité de cette issue pour un premier contributeur.
70
Direction de recherche
Investigate the file upload endpoint in the Grails controller (likely in a controller like FileController.groovy). Implement validation to reject SVG files containing script tags or strip scripts from uploaded SVGs. Alternatively, consider disallowing SVG uploads entirely. Ensure the fix is tested.