Bootstrapからポータルを守るには:CVE-2019-8331の脆弱性
knowledge-article-header-disclaimer-how-to
knowledge-article-header-disclaimer
legacy-article
learn-legacy-article-disclaimer-text
問題
- Liferay 7.0では、この脆弱性を持つBootstrapバーシオンを使用しています:
- CVE-2019-8331 - tooltip または popover の data-template 属性で XSS が可能です。
Bootstrap issue 20184 - data-target 属性に XSS があります。
解決策
-
AntiSamyと呼ばれるコンテンツをサニタイズするための公式のLiferayソリューションを有効にすることで、これらの脆弱性に対する保護を得ることができるはずです: AntiSamy.
-
すべてのポートレットを完全に保護するためには、 の解決策として、
com.liferay.journal.model.JournalArticle のホワイトリストを解除することをお勧めします(他のすべてのポートレットはデフォルトでホワイトリストに登録済みです)。
-
行ってみてください:
-
コントロールパネル > コンフィグレーション > システム設定 > ファンデーション > アンチサミー・サニタイザー.
-
com.liferay.journal.model.JournalArticle をホワイトリストから削除しました。
- これが行われると、 Web Content ポートレットは、公開前にXSSをサニタイズし、悪意のあるコンテンツを許可しなくなります。
-
ご注意ください:
- この変更は、すでに公開されているコンテンツには適用されず、サニタイズするために再公開する必要があります。
- これは、(サニタイズする必要がある場合)現在のコンテンツの自動修正を意味する可能性があります。
did-this-article-resolve-your-issue
