CVE-2022-25303

Versões do whoogle-search anteriores à 0.7.2

A vulnerabilidade diz respeito a Cross-site Scripting (XSS) por meio do parâmetro de string de consulta q. Quando o parâmetro q não contém a string ‘http’, ele é usado para construir a error message, que é então renderizada no modelo error.html usando a função flask.render template. No entanto, a error message é renderizada usando o filtro | safe, o que significa que a entrada do usuário não é escapada.

Para versões anteriores à 0.7.2, atualize para a versão 0.7.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso do parâmetro q na string de consulta para minimizar o risco de exploração.