Vulnerabilità: CVE-2020-15118

In Ballerina prima le versioni 2.7.4 e 2.9.3, quando un tipo di pagina modulo è messo a disposizione per i redattori Ballerina attraverso il wagtail.contrib.forms` app `, e il modello di pagina è costruito utilizzando aiutanti di rendering forma standard di Django, come modulo. as_p, eventuali tag HTML utilizzati nel testo di aiuto di un campo di modulo saranno resi escape nella pagina. Consentire HTML all’interno testo di aiuto è una decisione intenzionale di design da Django; tuttavia, come una questione di politica Ballerina non consente di inserire i redattori arbitrario HTML di default, in quanto ciò potrebbe potenzialmente essere usato per effettuare attacchi cross-site scripting, tra cui privilegi. Questa funzionalità dovrebbe, pertanto, non sono stati resi disponibili per gli utenti di livello redattore. La vulnerabilità non è sfruttabile da un visitatore del sito ordinaria senza l’accesso al l’amministratore Ballerina. versioni con patch sono stati rilasciati come Ballerina 2.7.4 (per il 2,7 ramo LTS) e Ballerina 2.9.3 (per l’attuale 2,9 ramo). In queste versioni, il testo della guida sarà sfuggito per evitare l’inserimento di tag HTML. I proprietari del sito che vogliono riattivare l’uso di HTML all’interno di testo di aiuto (e sono disposti ad accettare il rischio di questo essere sfruttati da editori) possono impostare WAGTAILFORMS_HELP_TEXT_ALLOW_HTML = True nelle loro impostazioni di configurazione. I proprietari dei siti che sono in grado di eseguire l’aggiornamento alle nuove versioni in grado di proteggere i loro modelli di pagina modulo rendendo forme campo per campo come da documentazione di Django, ma omettendo il | filtro di sicuro quando emettere il testo di aiuto.


https://github.com/wagtail/wagtail/security/advisories/GHSA-2473-9hgq-j7xw
https://github.com/wagtail/wagtail/security/advisories/GHSA-2473-9hgq-j7xw
https://docs.djangoproject.com/en/3.0/ref/models/fields/#django.db.models.Field.help_text
https://docs.djangoproject.com/en/3.0/ref/models/fields/#django.db.models.Field.help_text
https://docs.wagtail.io/en/stable/reference/contrib/forms/index.html#usage
https://docs.wagtail.io/en/stable/reference/contrib/forms/index.html#usage
https://github.com/wagtail/wagtail/blob/master/docs/releases/2.9.3.rst
https://github.com/wagtail/wagtail/blob/master/docs/releases/2.9.3.rst
https://github.com/wagtail/wagtail/commit/d9a41e7f24d08c024acc9a3094940199df94db34
https://github.com/wagtail/wagtail/commit/d9a41e7f24d08c024acc9a3094940199df94db34
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15118


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi