标签

GrapesJS 中的 安全 问题

GrapesJS 社区存档中有 12 个问题, 5 个经社区验证按讨论热度排序——查看真实的修复、错误和代码参考。

#57432024年3月11日作者 davidgabrichidze✓ 已解决 · 45

Iframe 属性 src 中的 XSS 漏洞

葡萄JS版本 [X] 我确认使用最新版本的GrapesJS 你用的是什么浏览器? Edge v122 可复制演示链接 https://jsfiddle.net/bwreyq29/1/ 描述一下那个虫子 如何复现这个漏洞? 打开此链接 [https://jsfiddle.net/bwreyq29/1/](https://jsfiddle.net/bwreyq29/1/),附带在“src”属性上的 JavaScript 代码将自动执行。 预期的行为是什么? 这段代码不应该运行...

#44112022年6月27日作者 zgeist✓ 已解决 · 42

XSS在选择器管理器中添加类名时

葡萄JS版本 [X] 我确认使用最新版本的GrapesJS 你用的是什么浏览器? Chrome v102 可复制演示链接 https://jsfiddle.net/szLp8h4n 描述一下那个虫子 如何复现这个漏洞?选择任意组件在选择器管理器中添加类名,比如“<a href=”#“onclick='alert(123)'>check</a>'点击职业名称后,你收到了提示 预期的行为是什么? 类别名称应避免使用 目前的行为是什么? 类名中的JavaScript运行 需要在模...

#40762022年1月17日作者 diemkay💬 4 个回答0

XSS通过组件属性的漏洞

葡萄JS版本 [X] 我确认使用最新版本的GrapesJS 你用的是什么浏览器? Chrome 97.0.4692.71 可复制演示链接 https://jsfiddle.net/ovrz5ug2/4/ 描述一下那个虫子 你好——我们在多人游戏场景中使用 GrapesJS 时遇到了这个 XSS 漏洞,几个特权用户可以通过编辑器(即非开发者)对模板和组件进行修改。实际上,这使他们容易受到组织内部攻击,一个用户添加了恶意代码,另一个用户可能发现并运行。 如何复现这个漏洞?在组件...

#35962021年7月6日作者 aimeos💬 4 个回答0

价值无法逃避

GrapesJS 代码存在 XSS 问题,因为值插入 DOM 时不会逃逸,例如 https://github.com/artf/grapesjs/blob/dev/src/assetmanager/view/AssetImageView.js#L30 如果“model.getFilename()”返回“<img src=x onerror=alert(document.cookie)>.jpg',可能会导致账户被接管。相反,代码应当是例如: 这里也有类似的问题 https:...

#35582021年6月22日作者 aimeos✓ 已解决 · 42

FATE:支持内容-安全-政策

为了减少在“敌对”环境中(如SaaS平台)中使用编辑器时可能的攻击面,必须支持CSP。这也能防止类似的问题 https://github.com/artf/grapesjs/issues/3082 目前,唯一阻碍有效 CSP 规则的问题是 GrapesJS 代码中使用了“new Function()”,这需要 CSP 规则为“unsafe-eval”。 有没有其他实现方式?

#34812021年5月25日作者 zgeist✓ 已解决 · 44

将下线库更新为1.13。*

当前版本存在安全问题 可能是更新到最新版本

#34432021年5月7日作者 chilled-capybara💬 4 个回答0

主干网-撤销/下划线安全建议

版本: 'v0.17.3' 你能重现演示中的bug吗?[x] 是的[ ] 不 预期的行为是什么? 见下文 目前的行为是什么? 嵌套依赖中使用的“underscore”版本中存在已知的安全漏洞。 当前版本的“葡萄”使用“backbone-undo”^0.2.5” https://github.com/artf/grapesjs/blob/d7f773202c72710dd787e2ce418c114c9ef81986/package.json#L20 最新版本是通过['npm...

#33322021年3月11日作者 AmtechInnovarch💬 4 个回答1

近一半的软件包都存在高风险漏洞,且都存在一定的漏洞。

NPM之后,我们可以看到漏洞的程度是不可接受的。 新增了来自383位贡献者的646个包,并在7.892秒内审核了762个包 发现了724个漏洞(353个低点,23个中等,348个高) 运行“NPM Audit Fix”来修复这些问题,或者使用“NPM Audit”获取详细信息 我正在尝试解决这个问题,至少在本地范围内。这会花很长时间,因为每个指定的软件包都存在漏洞。

#67232026年3月5日作者 tiburciomzt✓ 已解决 · 22

依赖性:grapesjs >=0.21.13 依赖于易受攻击的下划线版本

GrapesJS版本 [x] 我确认使用最新版本的GrapesJS 你用的是什么浏览器? Edge,mozilla 可复制演示链接 匿名 描述一下那个虫子 下拍<=1.13.7 严重程度:高 下拍<=1.13.7 严重程度:高 Underscore在.flatten和.isEqual中具有无限递归,潜在的DoS攻击——https://github.com/advisories/GHSA-qpx9-hpmf-5gmw 修复可通过“NPM审计修复——强制”获得 将安装grape...

#66902026年1月16日作者 HavokInspiration💬 1 个回答0

CSP违规

GrapesJS版本 [x] 我确认使用最新版本的GrapesJS 你用的是什么浏览器? Chrome 143.0.7499.193 可复制演示链接 https://grapesjs.com/demo.html 描述一下那个虫子 你好。 如何复现这个漏洞? 导入 GrapesJS 中的 JS 文件 / Node env : 在使用严格CSP规则的网页上,例如: 这样做会导致大量关于内联样式的CSP违规。 问题所在 我们正在考虑在SaaS产品的重大更新中使用GrapesJS,...

查看全部 12 个 安全 问题 →