+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Риск внедрения HTML в поле "Описание" в графическом интерфейсе PVE., Proxmox Виртуальная Среда

pghv

Guest

16.06.2025 17:13:00

Можно задать произвольный текст в конфигурационном поле описания VM, и он будет отображаться в поле "Заметки" графического интерфейса, например: `qm set 1000 --description "stuff"`. Я использую это для метаданных на VM, например: Код: Stuff

stuff 2
<metadata>e2NpZGlza19oYXNoOiBjNDVhMzhjYWE0NDg3NTAzNmZmNmIxMTRjZWRhNTdlZDFhMjZjOWI1fQo=</metadata> Когда я просматриваю поле "Заметки" графического интерфейса PVE, оно не HTML-кодируется, так что исходный код страницы теперь содержит <metadata> в исходном коде веб-страницы. Это уязвимость безопасности, поскольку злонамеренный администратор может внедрить HTML-код в браузеры администраторов.

fba Guest	#2 0 16.06.2025 18:36:00 Вам нужно создать запись по адресу https://bugzilla.proxmox.com/, чтобы разработчики могли это проверить.

fabian Guest	#3 0 17.06.2025 10:18:00 Для справки: у нас есть устоявшийся канал для сообщения об уязвимостях: https://pve.proxmox.com/wiki/Security_Reporting. Представление заметок использует специальный парсер Markdown, определенный здесь: https://git.proxmox.com/?p=proxmox-...1aff65080073065eb700d8868653a9adde83f;hb=HEAD. Он запрещает многие HTML-теги и искажает другие. Если вы обнаружите проблематичный ввод, который реально нарушает гарантии, которые он должен обеспечивать (отсутствие XSS или нарушение отрисовки чего-либо, что находится не в заметках), пожалуйста, сообщите нам об этом напрямую по адресу, указанному в наших рекомендациях по безопасности.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры