CVE-2020-15118

Versões do Wagtail anteriores à 2.7.4 e anteriores à 2.9.3

O problema ocorre quando um tipo de página de formulário é disponibilizado aos editores do Wagtail por meio do aplicativo wagtail.contrib.forms, e o modelo da página é criado usando os auxiliares padrão de renderização de formulários do Django, como form.as p. Quaisquer tags HTML usadas no texto de ajuda de um campo de formulário serão renderizadas sem escape na página, permitindo potencialmente ataques de cross-site scripting, incluindo escalonamento de privilégios. Essa funcionalidade não deveria ter sido disponibilizada para usuários com nível de editor. A vulnerabilidade não pode ser explorada por um visitante comum do site sem acesso ao painel de administração do Wagtail.

Para versões anteriores à 2.7.4 e anteriores à 2.9.3, atualize para o Wagtail 2.7.4 ou Wagtail 2.9.3, onde o texto de ajuda será escapado para impedir a inclusão de tags HTML.

Como solução temporária para proprietários de sites que não possam atualizar para as novas versões, proteja os modelos de páginas de formulário renderizando os formulários campo a campo, conforme a documentação do Django, mas omitindo o filtro |safe ao exibir o texto de ajuda.

Os proprietários de sites que desejarem reativar o uso de HTML no texto de ajuda podem definir WAGTAILFORMS HELP TEXT ALLOW HTML = True em suas configurações, aceitando o risco de que isso seja explorado por editores.