streamaserver/streama

XSS in the Upload Poster feature using an SVG image

Open

#1,088 建立於 2021年9月13日

在 GitHub 查看
 (0 留言) (1 反應) (0 負責人)JavaScript (9,565 star) (977 fork)batch import
BugHelp wanted

描述

If uploading a SVG file in the poster file browser containing a script tag, this script tag will be executed when opening the file. example file:

<?xml version="1.0" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">

<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg" id="mysvg">
<script>
alert(document.cookie);
</script>
</svg>

貢獻者指南

技術棧
javascripthtml
領域
securityfrontend
議題類型
bug
難度面向新貢獻者的預計實作難度,1 表示很小改動,5 表示專家級工作。
3
預計時間有經驗貢獻者完成調查、實作、測試並準備 pull request 的粗略時間範圍。
1-3 hours
活動狀態議題目前的可參與程度:新鮮、活躍、陳舊、阻塞或等待維護者輸入。
stale
清晰度議題是否清楚說明預期改動、驗收標準和下一步。
clear
前置要求
Basic knowledge of XSSUnderstanding of file upload handling
新手友善度1-100 的估計分數,表示該議題對首次貢獻者的友善程度。
70
研究方向
Investigate the file upload endpoint in the Grails controller (likely in a controller like FileController.groovy). Implement validation to reject SVG files containing script tags or strip scripts from uploaded SVGs. Alternatively, consider disallowing SVG uploads entirely. Ensure the fix is tested.