CVE-2026-28350

Nome do Software Vulnerável e Versões Afetadas Versões do lxml html clean anteriores à 0.4.4

Descrição O software não manipula corretamente a tag <base> durante a limpeza de HTML. Especificamente, a tag <base> não é removida mesmo quando page structure=True, o que remove as tags html, head e title. Isso permite que um atacante injete uma tag <base> e sequestre links relativos na página. Injetar uma tag <base> altera a URL base para todas as URLs relativas na página, incluindo links, imagens e scripts, para um domínio controlado pelo atacante. Isso pode levar a phishing, redirecionamento de envios de formulário, cross-site scripting (XSS) e defacement da página web. O endpoint da API não é mencionado. O parâmetro vulnerável não é mencionado. A função vulnerável não é mencionada.

Recomendações Atualize para a versão 0.4.4 ou posterior do lxml html clean.