Restringir tipos MIME para download [Atualizado na Central de segurança 1.3 e 2.0]

Segurança da Plataforma Yokohama

Release

yokohama

ft:locale

pt-BR

ft:publication_title

Segurança da Plataforma Yokohama

ft:clusterId

psec

bundleId

psec

workflow

Platform

Restringir tipos MIME para download [Atualizado na Central de segurança 1.3 e 2.0]

Versão de lançamento: Yokohama

Atualizado 12 de fev. de 2025

1 min. de leitura

A propriedade glide.ui.attachment.download_mime_types forçará a lista especificada de tipos de arquivos perigosos a ser baixada para o cliente e não exibida em linha no navegador.

Se a propriedade glide.ui.attachment.force_download_all_mime_types estiver definida como verdadeira, a propriedade glide.ui.attachment.download_mime_types será substituída para que todos os tipos de MIME sejam baixados em vez de renderizados pelo navegador. Por exemplo, baixar texto/html força os arquivos HTML a serem baixados para o cliente como um arquivo, em vez de exibidos em linha no navegador, prevenindo um ataque XSS. O XSS pode levar à escalação de privilégios facilmente alcançada para funções superiores, como administrador, onde mais movimento lateral pode ser realizado.

Nova correção: certifique-se de que a propriedade glide.ui.attachment.force_download_all_mime_types esteja definida como verdadeira. Se a propriedade não existir na tabela sys_properties, o valor padrão será falso.

Nota:

A função security_admin é necessária para editar a propriedade.

Mais informações


Atributo	Descrição
Nome da propriedade	glide.ui.attachment.download_mime_types
Tipo de configuração	Propriedades do sistema (/sys_properties_list.do)
Categoria	Validação, limpeza e codificação
Finalidade	Manter corretamente a lista de tipos de arquivos perigosos que não podem ser exibidos no navegador impedirá ataques de script entre sites (XSS).
Valor recomendado	Lista de tipos MIME aplicáveis ou o valor recomendado: `text/html,image/svg,image/svg+xml,application/xml`
Valor padrão	Lista de tipos MIME aplicáveis para o valor padrão: `text/html,image/svg,image/svg+xml,application/xml`
Tipo de configuração	Cadeia de caracteres: qualquer valor separado por vírgula de tipos mime de aplicação.
Impacto funcional	Esta correção impõe o desempenho de verificações de validação antes de executar uma ação quando você clica em um anexo em uma aplicação Now Platform. Não há nenhum impacto potencial, mas a experiência do usuário é alterada.
Risco à segurança	(Moderado) Os invasores podem abusar dos tipos MIME e colocar conteúdo de script não intencional no anexo do lado da vítima para capturar informações confidenciais. A capacidade de ter XSS pode levar ao fácil alcance da escalação de privilégios para funções superiores, como administrador, onde mais movimento lateral pode ser realizado. No contexto atual, preencha a propriedade com uma lista de tipos MIME de anexo separados por vírgula que não devem ser renderizados em linha no navegador.
Classificação de risco de segurança	6,4
Propriedades relacionadas	glide.ui.attachment.force_download_all_mime_types glide.ui.attachment.tables_ignore_force_download
Referências	Definir tipos MIME para download restritos [Atualizado na Central de segurança 1.3, 1.5 e 2.0].