[Exploratoria] Ejecución de Código Javascript dentro de tarjeta de Markdown al crear una página #2
Description
Descripción del problema
El problema descrito es que es posible ejecutar código JavaScript dentro de una tarjeta de Markdown al crear una página en Ghost. Esto es un problema porque el Markdown es un lenguaje de marcado que se utiliza para dar un formato al contenido de la página web, pero no es un lenguaje de programación y no debería permitir la ejecución de código JavaScript.
La ejecución de código JavaScript dentro de una tarjeta de Markdown podría ser peligroso, ya que puede permitir a los atacantes explotar vulnerabilidades en el CMS y comprometer la seguridad del sitio web. Por lo tanto, es importante asegurarse de que el CMS de Ghost no permita la ejecución de código JavaScript dentro de Markdown.
Cómo reproducir el problema
Pasos para reproducir el comportamiento:
- Ir a la sección de páginas
- Hacer click en "New Page"
- Insertar un bloque de código Markdown
- Insertar código Javascript como en el ejemplo posterior
- Publicar la página
- Acceder a la página
Ejemplo de código JS que se puede ejecutar:
<script>alert("Esto es JavaScript ejecutándose")</script>
<img src=x onerror=alert(1) />Comportamiento esperado
Ghost debería realizar una validación en el bloque de Markdown para detectar la presencia de código JavaScript dentro de las tarjetas y bloquear su ejecución.
Capturas de pantalla
Entorno
- CPU: Intel Core i5-9400f
- RAM: 16 GB 3200 mHz
- Sistema Operativo: Windows 11 Pro
- Navegador: Brave v1.49.132
- Versión de Ghost: v3.41.1