PT-2024-18917 · Unknown+1 · Sanitize-Html+1

Slonser

Publicado

2024-02-23

Atualizado

2026-06-04

CVE-2024-21501

CVSS v3.1

5.3

Média

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Nome do software vulnerável e versões afetadas

Versões do sanitize-html anteriores à 2.12.1

Descrição

A vulnerabilidade permite a exposição de informações quando o atributo style é permitido no backend, possibilitando que um invasor enumere arquivos no sistema, incluindo dependências do projeto. Isso poderia ser explorado para coletar detalhes sobre a estrutura do sistema de arquivos e as dependências do servidor visado.

Recomendações

Para versões anteriores à 2.12.1, atualize para a versão 2.12.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar o atributo style ao usar o sanitize-html no backend para minimizar o risco de exploração.

Exploit

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-538

Identificadores relacionados

CVE-2024-21501

GHSA-RM97-X556-Q36H

Produtos afetados

Debian

Sanitize-Html

PT-2024-18917 · Unknown+1 · Sanitize-Html+1

CVE-2024-21501

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 27