php · shopware/coreAtenção
shopware/core: SVG não sanitizado permite XSS no gerenciador de mídia
Arquivos SVG são permitidos na lista de upload do gerenciador de mídia, mas não são sanitizados, possibilitando XSS armazenado via conteúdo SVG malicioso.
O que mudou
Arquivos SVG são permitidos na lista de upload do gerenciador de mídia, mas não são sanitizados, possibilitando XSS armazenado via conteúdo SVG malicioso.
Quem isso afeta
Todos os usuários admin que fazem upload de arquivos SVG e todos os usuários que os visualizam na aplicação Shopware.
O que fazer hoje
Remova SVG de allowed_extensions ou implemente sanitização de SVG usando uma biblioteca como enshrined/svg-sanitize.
A esteira
Coletado→
Auditado→
Redigido→
Publicado