不正なメンションを利用したXSSの修正 #3590

sapphi-red · 2022-09-15T08:53:22Z

Lines 39 to 44 in a365a9b

    
           generateUserHref(id) { 
        
             return `javascript:openUserModal('${id}')` 
        
           }, 
        
           generateUserGroupHref(id) { 
        
             return `javascript:openGroupModal('${id}')` 
        
           }

ここで'がエスケープされていない

そのため、javascript:openUserModal(' '); /* 任意のコード */ (' ')が実行可能

037f083 で修正済み

PoC

!{"type":"user","raw":"@sappi_red","id":"');alert('haha');console.log('"}

これを送信してメンションをクリックすると、アラートが表示される

The text was updated successfully, but these errors were encountered:

sapphi-red · 2022-09-15T09:03:50Z

このコミット起因なので、影響範囲は v3.12.0～v3.15.8
5b59bfa

traPtitech/traQ_S-UI#3590

hijiki51 · 2022-11-20T14:10:03Z

https://q.trap.jp/messages/adc4abf2-c575-4cd9-bcca-93a09d1c688b
https://q.trap.jp/messages/10ecc0e3-b922-41b7-8732-6ba04c84ec49

hijiki51 · 2022-11-20T14:10:55Z

%22のようにエンコードすることでまだXSS可能だった

sapphi-red added bug Something isn't working priority:HIGH security Pull requests that address a security vulnerability labels Sep 15, 2022

sapphi-red closed this as completed Sep 15, 2022

sapphi-red added a commit to traPtitech/traq-markdown-it that referenced this issue Sep 15, 2022

XSSの注意をコメントに追加

66e6933

traPtitech/traQ_S-UI#3590

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

不正なメンションを利用したXSSの修正 #3590

不正なメンションを利用したXSSの修正 #3590

sapphi-red commented Sep 15, 2022 •

edited

sapphi-red commented Sep 15, 2022

hijiki51 commented Nov 20, 2022

hijiki51 commented Nov 20, 2022

不正なメンションを利用したXSSの修正 #3590

不正なメンションを利用したXSSの修正 #3590

Comments

sapphi-red commented Sep 15, 2022 • edited

PoC

sapphi-red commented Sep 15, 2022

hijiki51 commented Nov 20, 2022

hijiki51 commented Nov 20, 2022

sapphi-red commented Sep 15, 2022 •

edited