Аспро: ЛайтШоп [тема: Риск внедрения HTML в поле "Описание" в графическом интерфейсе PVE.] http://proxmox.su Новое в теме Риск внедрения HTML в поле "Описание" в графическом интерфейсе PVE. форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Fri, 01 May 2026 14:27:07 +0300 Риск внедрения HTML в поле "Описание" в графическом интерфейсе PVE. Риск внедрения HTML в поле "Описание" в графическом интерфейсе PVE. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Для справки: у нас есть устоявшийся канал для сообщения об уязвимостях: https://pve.proxmox.com/wiki/Security_Reporting. Представление заметок использует специальный парсер Markdown, определенный здесь: https://git.proxmox.com/?p=proxmox-...1aff65080073065eb700d8868653a9adde83f;hb=HEAD. Он запрещает многие HTML-теги и искажает другие. Если вы обнаружите проблематичный ввод, который реально нарушает гарантии, которые он должен обеспечивать (отсутствие XSS или нарушение отрисовки чего-либо, что находится не в заметках), пожалуйста, сообщите нам об этом напрямую по адресу, указанному в наших рекомендациях по безопасности.
17.06.2025 10:18:00, fabian.]]> http://proxmox.su/forum/messages/forum63/message320062/77123-risk-vnedreniya-html-v-pole-_opisanie_-v-graficheskom-interfeyse-pve. http://proxmox.su/forum/messages/forum63/message320062/77123-risk-vnedreniya-html-v-pole-_opisanie_-v-graficheskom-interfeyse-pve. Tue, 17 Jun 2025 10:18:00 +0300 Proxmox Виртуальная Среда Риск внедрения HTML в поле "Описание" в графическом интерфейсе PVE. Риск внедрения HTML в поле "Описание" в графическом интерфейсе PVE. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Вам нужно создать запись по адресу https://bugzilla.proxmox.com/, чтобы разработчики могли это проверить.
16.06.2025 18:36:00, fba.]]> http://proxmox.su/forum/messages/forum63/message320061/77123-risk-vnedreniya-html-v-pole-_opisanie_-v-graficheskom-interfeyse-pve. http://proxmox.su/forum/messages/forum63/message320061/77123-risk-vnedreniya-html-v-pole-_opisanie_-v-graficheskom-interfeyse-pve. Mon, 16 Jun 2025 18:36:00 +0300 Proxmox Виртуальная Среда Риск внедрения HTML в поле "Описание" в графическом интерфейсе PVE. Риск внедрения HTML в поле "Описание" в графическом интерфейсе PVE. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Можно задать произвольный текст в конфигурационном поле описания VM, и он будет отображаться в поле "Заметки" графического интерфейса, например: `qm set 1000 --description "stuff"`. Я использую это для метаданных на VM, например: Код: Stuff

stuff 2
<metadata>e2NpZGlza19oYXNoOiBjNDVhMzhjYWE0NDg3NTAzNmZmNmIxMT­RjZWRhNTdlZDFhMjZjOWI1fQo=</metadata> Когда я просматриваю поле "Заметки" графического интерфейса PVE, оно не HTML-кодируется, так что исходный код страницы теперь содержит <metadata> в исходном коде веб-страницы. Это уязвимость безопасности, поскольку злонамеренный администратор может внедрить HTML-код в браузеры администраторов. Пользователь добавил изображение
16.06.2025 17:13:00, pghv.]]> http://proxmox.su/forum/messages/forum63/message320060/77123-risk-vnedreniya-html-v-pole-_opisanie_-v-graficheskom-interfeyse-pve. http://proxmox.su/forum/messages/forum63/message320060/77123-risk-vnedreniya-html-v-pole-_opisanie_-v-graficheskom-interfeyse-pve. Mon, 16 Jun 2025 17:13:00 +0300 Proxmox Виртуальная Среда