streamaserver/streama

XSS in the Upload Poster feature using an SVG image

Open

Aperta il 13 set 2021

Vedi su GitHub
 (0 commenti) (1 reazione) (0 assegnatari)JavaScript (9565 star) (977 fork)batch import
BugHelp wanted

Descrizione

If uploading a SVG file in the poster file browser containing a script tag, this script tag will be executed when opening the file. example file:

<?xml version="1.0" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">

<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg" id="mysvg">
<script>
alert(document.cookie);
</script>
</svg>

Guida contributor

Tech stack
javascripthtml
Dominio
securityfrontend
Tipo issue
bug
DifficoltàQuanto dovrebbe essere impegnativa per un nuovo contributor.
3
Tempo stimatoTempo stimato per completare e verificare uno scope piccolo.
1-3 hours
Stato attivitàQuanto è probabile che la issue sia ancora attiva e reviewable.
stale
ChiarezzaQuanto chiaramente la issue descrive problema, scope e risultato atteso.
clear
Prerequisiti
Basic knowledge of XSSUnderstanding of file upload handling
Adatta ai principiantiQuanto la issue è adatta a contributor alla prima esperienza.
70
Direzione di ricerca
Investigate the file upload endpoint in the Grails controller (likely in a controller like FileController.groovy). Implement validation to reject SVG files containing script tags or strip scripts from uploaded SVGs. Alternatively, consider disallowing SVG uploads entirely. Ensure the fix is tested.