セキュリティ研究者が、GitLab に「ストアド クロスサイト スクリプティング」(XSS) の脆弱性を発見しました。
この脆弱性により、攻撃者はコメントの問題など、マークダウンが処理されるあらゆる場所に JavaScript を挿入することができました。
このバグを責任を持って公開したことに対して、GitLab は ID 1212067 で 16,000 ドルを授与しました。
この脆弱性により、ユーザーは画像を使用したマークダウン リンク経由で問題内で参照できる設計ファイルをアップロードできます。
マークダウンをレンダリングするとき、GitLab は「referenceFilter」を使用してこれらの参照を解析します。
コメント