Jens Häderer

**Nome do software vulnerável e versões afetadas** Versões do jsoup anteriores à 1.15.3 **Descrição** O problema está relacionado à sanitização incorreta de HTML que inclua expressões de URL do tipo `javascript:`, o que poderia permitir ataques de cross-site scripting (XSS) quando um usuário clicar nesse link posteriormente. Se a opção `SafeList.preserveRelativeLinks`, que não é padrão, estiver ativada, o HTML que inclua URLs `javascript:` criadas com caracteres de controle não será sanitizado. Se o site em que esse HTML é publicado não definir uma Política de Segurança de Conteúdo, um ataque XSS será possível. **Recomendações** Para resolver o problema em versões anteriores à 1.15.3: - Atualize para a versão 1.15.3. - Além disso, como a entrada não sanitizada pode ter sido mantida, o conteúdo antigo deve ser limpo novamente usando a versão atualizada. Como solução alternativa temporária, considere desativar a opção `SafeList.preserveRelativeLinks`, que reescreverá as URLs de entrada como URLs absolutas. Certifique-se de que uma Política de Segurança de Conteúdo apropriada esteja definida, a qual deve ser usada independentemente da atualização, como uma prática recomendada de defesa em profundidade.