Ironfisto

**Nome do Software Vulnerável e Versões Afetadas** OWASP Java HTML Sanitizer versões 20240325.1 **Descrição** O OWASP Java HTML Sanitizer está vulnerável a Cross-Site Scripting (XSS) quando o HtmlPolicyBuilder permite as tags `noscript` e `style` com `allowTextIn` habilitado dentro da tag `style`. Isso ocorre porque o sanitizador não sanitiza corretamente o CSS quando essas condições são atendidas, potencialmente permitindo a execução de scripts maliciosos. O problema surge quando o navegador interpreta a combinação das tags `noscript` e `style` de uma forma que contorna a sanitização, levando ao XSS. A vulnerabilidade é acionada quando um payload elaborado contendo tags de script dentro das tags permitidas é processado. O problema é um caso de borda e só ocorre quando o HtmlPolicyBuilder permite as tags `noscript` e `style` com `allowTextIn` dentro das tags `style`. **Recomendações** Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.