CarrierWaveはRubyアプリケーションからファイルをアップロードするためのフレームワークです。バージョン2.2.7および3.1.3より前のバージョンでは、content_type_denylistチェックが文字列エントリ内の正規表現メタ文字をエスケープしないため、denylistが意図したコンテンツタイプに静かにマッチしなくなる問題があります。lib/carrierwave/uploader/content_type_denylist.rbの57行目では、denylistエントリがRegexp.quoteやアンカーなしで直接正規表現に補間されます。そのため、例えばimage/svg+xmlというエントリは+/が量指定子として扱われ、実際のMIMEタイプimage/svg+xmlとはマッチしません。これはRegexp.quoteと\Aアンカーの両方を正しく適用しているallowlistの実装と矛盾しています。application/xhtml+xmlのように正規表現メタ文字を含む他のコンテンツタイプも影響を受けます。その結果、content_type_denylistに依存してimage/svg+xmlをブロックしているアプリケーションは、通常ストアドXSSを防ぐために使われますが、静かに保護されていません。攻撃者は任意のJavaScriptを含むSVGファイルをアップロードでき、アプリケーションがそのSVGを自分のオリジンからインラインで提供すると、そのスクリプトが被害者のブラウザで実行されてストアドXSSを引き起こします。この問題はバージョン2.2.7および3.1.3で修正されました。
|