PT-2024-35391 · Lxml+1 · Lxml+1
Jorianwoltjer
·
Publicado
2024-11-19
·
Atualizado
2024-12-13
·
CVE-2024-52595
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:H |
Nome do software vulnerável e versões afetadas
Versões do lxml html clean anteriores à 0.4.0
Descrição
O analisador HTML do lxml não lida adequadamente com a mudança de contexto para tags HTML especiais, como
<svg>, <math> e <noscript>. Esse comportamento difere da forma como os navegadores da Web analisam e interpretam tais tags. Especificamente, o conteúdo dos comentários CSS é ignorado pelo lxml html clean, mas pode ser interpretado de forma diferente pelos navegadores da web, permitindo que scripts maliciosos contornem o processo de limpeza. Isso pode levar a ataques de Cross-Site Scripting (XSS), comprometendo a segurança dos usuários que dependem do lxml html clean na configuração padrão para sanitizar conteúdo HTML não confiável.Recomendações
Para versões anteriores à 0.4.0, atualize para o lxml 0.4.0 para resolver este problema.
Como medida de mitigação temporária, configure o lxml html clean com as seguintes opções:
-
Use
remove tagspara especificar as tags a serem removidas, movendo seu conteúdo para as tags pai. -
Use
kill tagspara especificar as tags a serem removidas completamente. -
Use
allow tagspara restringir o conjunto de tags permitidas, excluindo tags de troca de contexto como<svg>,<math>e<noscript>.
Exploit
Correção
XSS
Incomplete List of Disallowed Inputs
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Lxml
Lxml Html Clean