PT-2021-3417 · Striptags · Striptags
Erik-Krogh
·
Publicado
2021-06-18
·
Atualizado
2021-06-24
·
CVE-2021-32696
CVSS v2.0
5.0
Média
| Vetor | AV:N/AC:L/Au:N/C:N/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do striptags anteriores à 3.2.0
Descrição
Um problema de confusão de tipos pode fazer com que o striptags concatene strings não sanitizadas quando um objeto semelhante a uma matriz é passado como parâmetro
html. Isso pode ser explorado por um invasor capaz de controlar o formato da entrada, por exemplo, se parâmetros de consulta forem passados diretamente para a função, levando a ataques de cross-site scripting (XSS).Recomendações
Para versões anteriores à 3.2.0, atualize para a versão 3.2.0 para resolver o problema.
Como solução temporária, certifique-se de que o parâmetro
html seja uma string antes de chamar a função.Correção
Type Confusion
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Striptags