PT-2022-16045 · Loofah+5 · Loofah+5

Haqpl

·

Publicado

2022-12-13

·

Atualizado

2026-03-13

·

CVE-2022-23515

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Loofah, versões 2.1.0 a 2.19.0
Descrição
O problema diz respeito a uma vulnerabilidade de script entre sites (XSS) por meio do tipo de mídia image/svg+xml em URIs de dados. Essa vulnerabilidade afeta o Loofah, uma biblioteca para manipulação e transformação de documentos e fragmentos HTML/XML baseada no Nokogiri.
Recomendações
Para as versões 2.1.0 a 2.19.0 do Loofah, atualize para a versão 2.19.1 para resolver o problema. Como solução temporária, considere restringir o uso do tipo de mídia image/svg+xml em URIs de dados até que o patch seja aplicado.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

ALT-PU-2023-1338
ALT-PU-2023-4267
ALT-PU-2024-7813
CVE-2022-23515
DLA-3565-1
DLA-3901-1
GHSA-228G-948R-83GX
OPENSUSE-SU-2024:12768-1
OPENSUSE-SU-2024:14171-1
OPENSUSE-SU-2025:15120-1
OPENSUSE-SU-2026:10353-1
RHSA-2023:2097
RLSA-2023:2097
SUSE-SU-2023:1657-1

Produtos afetados

Alt Linux
Astra Linux
Loofah
Nokogiri
Rocky Linux
Suse