PT-2024-3100 · Antisamy+1 · Antisamy+1
Leen
·
Publicado
2024-02-02
·
Atualizado
2025-11-25
·
CVE-2024-23635
CVSS v2.0
6.4
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do AntiSamy anteriores à 1.7.5
Descrição
O problema está relacionado a uma vulnerabilidade de XSS de mutação (mXSS) no AntiSamy causada por uma análise incorreta do HTML que está sendo sanitizado. Essa vulnerabilidade pode ser explorada quando a diretiva
preserveComments está habilitada no arquivo de política, permitindo que certas entradas maliciosas façam com que elementos em tags de comentário sejam interpretados como executáveis.Recomendações
Para versões anteriores à 1.7.5, atualize para o AntiSamy 1.7.5 ou posterior para resolver o problema.
Como solução temporária, edite manualmente o arquivo de política do AntiSamy excluindo a diretiva
preserveComments ou definindo seu valor como false, se estiver presente.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Antisamy
Debian