PT-2020-6808 · Mozilla+3 · Bleach+3
Yaniv Nizry
·
Publicado
2020-02-24
·
Atualizado
2026-03-05
·
CVE-2020-6802
CVSS v2.0
6.4
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do Mozilla Bleach anteriores à 3.11
Descrição
A vulnerabilidade existe devido à proteção inadequada da estrutura da página web. A exploração pode permitir que um invasor remoto realize um ataque de cross-site scripting (XSS). Um XSS de mutação afeta usuários que chamam
bleach.clean com noscript e uma tag raw na opção de tags permitidas/na lista de permissões.Recomendações
Para versões anteriores à 3.11, modifique as chamadas a
bleach.clean para não colocar na lista de permissões noscript e uma ou mais das seguintes tags raw: title, textarea, script, style, noembed, noframes, iframe, xmp.Implemente uma Política de Segurança de Conteúdo (Content-Security-Policy) robusta, sem
unsafe-inline e unsafe-eval em script-src, para ajudar a mitigar o risco.Atualize para a versão 3.1.1 ou posterior para resolver o problema.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Bleach
Linuxmint
Suse
Ubuntu