PT-2021-11234 · Unknown · Sanitize-Html

Michał Bentkowski

·

Publicado

2021-01-04

·

Atualizado

2021-01-07

·

CVE-2020-26293

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
**Nome do software vulnerável e versões afetadas:
Versões do HtmlSanitizer anteriores à 5.0.372
Descrição:
A vulnerabilidade permite uma possível contornamento de XSS caso a tag <style> seja permitida. Um invasor poderia criar código HTML que inclua scripts após passar pelo sanitizador, caso a tag <style> tenha sido explicitamente permitida. As configurações padrão desativam a tag <style>, não representando risco se ela não tiver sido explicitamente permitida.
Recomendações:
Para versões anteriores à 5.0.372, atualize para a versão 5.0.372 para resolver o problema.
Como solução temporária, considere remover a tag <style> do conjunto de tags permitidas até que um patch seja aplicado.

Correção

Special Elements Injection

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-79

Identificadores relacionados

CVE-2020-26293
GHSA-8J9V-H2VP-2HHV

Produtos afetados

Sanitize-Html