跨站脚本(XSS)漏洞：未转义的HTML属性值

漏洞详情

包名: bundler 组件: prosemirror_to_html (RubyGems)

受影响版本: < 0.2.1 已修复版本: 0.2.1

漏洞描述

影响

prosemirror_to_html gem存在跨站脚本(XSS)漏洞，攻击者可通过恶意HTML属性值进行攻击。虽然标签内容已正确转义，但属性值未转义，允许攻击者注入任意JavaScript代码。

受影响对象：

• 使用prosemirror_to_html将ProseMirror文档转换为HTML的任何应用程序
• 处理用户生成的ProseMirror内容的应用程序风险最高
• 查看渲染后HTML输出的终端用户可能在其浏览器中执行恶意JavaScript

攻击向量包括：

• 使用javascript:协议的href属性：<a href="javascript:alert(document.cookie)">
• 事件处理器：<div onclick="maliciousCode()">
• 图片的onerror属性：<img src=x onerror="alert('XSS')">
• 其他可执行JavaScript的HTML属性

修复方案

补丁

修复程序目前正在开发中。用户应在版本0.2.1发布后升级到此版本或更高版本。 该补丁使用CGI.escapeHTML转义所有HTML属性值，以防止注入攻击。

临时解决方案

在提供修补版本之前，用户可实现以下一种或多种缓解措施：

净化输出：通过Sanitize或Loofah等净化库传递HTML输出：

1
2

html = ProsemirrorToHtml.render(document)
safe_html = Sanitize.fragment(html, Sanitize::Config::RELAXED)

实施内容安全策略(CSP)：添加严格的CSP标头以防止内联JavaScript执行：

1

Content-Security-Policy: default-src 'self'; script-src 'self'

输入验证：如果可能，在转换之前验证和清理ProseMirror文档，以防止恶意内容进入系统。

参考信息

• 易受攻击的代码：https://github.com/etaminstudio/prosemirror_to_html/blob/ea8beb32f6c37f29f042ba4155ccf18504da716e/lib/prosemirror_to_html.rb#L249
• OWASP XSS预防备忘单
• CWE-79：在网页生成期间输入中和不当

安全评分

严重程度: 高 CVSS总体评分: 7.6/10

CVSS v3基本指标：

• 攻击向量：网络
• 攻击复杂度：低
• 所需权限：低
• 用户交互：需要
• 范围：已更改
• 机密性：高
• 完整性：低
• 可用性：无

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N

弱点信息

弱点: CWE-79 描述: 在网页生成期间输入中和不当（跨站脚本） 产品在将用户可控的输入放置到用作提供给其他用户的网页的输出中之前，未中和或错误地中和该输入。