RedCloth における未修正の XSS 脆弱性についての注意喚起 - co3k.org
TL;DR 任意のスクリプトの実行をユーザに許している場合を除き、 RedCloth によってパースしたユーザ入力値を出力するべきではありません。 RedCloth には 9 年ほど前から存在する未修正の XSS 脆弱性があり、しかもその存在が 2 年前に明らかになっています。 残念なことに、現在の開発者によるこの脆弱性の修正は期待できません。開発者は "バグの修正や次のメジャーリリースに関する作業をおこなえない (unable to keep fixing bugs or work on the next major release)" 旨を宣言しています。 もしそのようなコンテンツに対する RedCloth の利用を継続したい場合、この問題に対する修正を自分で実施するか、 RedCloth へのコントリビュートをおこなうことなどを検討してください。 RedCloth とは RedClo
co3k.org
About Hi, my name is Kousuke Ebihara (海老原昂輔 / a.k.a. co3k). I'm a software developer living in Tokyo, Japan. I was born on April 23, 1988. I currently work full-time at VOYAGE GROUP, Inc. Of course I take full responsibility for the wording and content of this site. プライバシーポリシー このサイトでは Google Analytics を用いて、本サイトにおける訪問者の行動データを収集しています。この目的を達成するためにファーストパーティ cookie を発行しています。これによってユニークユーザを識別することが可能ですが、も
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
