中危 保留注释时的 OWASP.AntiSamy mXSS (CVE-2023-51652)
CVE编号
CVE-2023-51652利用情况
暂无补丁情况
官方补丁披露时间
2024-01-03漏洞描述
OWASP AntiSamy .NET 是一个用于清理来自不可信源的 HTML 的库。在版本 1.2.0 之前,AntiSamy 中存在一个潜在的突变跨站脚本(mXSS)漏洞,原因是对被净化的 HTML 解析存在缺陷。为了受到此漏洞的影响,您的策略文件必须启用 `preserveComments` 指令,并同时允许某些标签。结果,一些狡猾的输入可能会导致注释标签中的元素在使用 AntiSamy 的净化输出时被解释为可执行代码。这个问题在 OWASP AntiSamy .NET 1.2.0 及更高版本中得到修复。有关重要的修复细节,请查看下方给出的参考资料。作为解决方法,可以通过手动编辑 AntiSamy 策略文件(例如 antisamy.xml)来删除 `preserveComments` 指令,或者将其值设置为 `false`(如果存在的话)。另外,根据 GitHub 安全公告,在`<tagrules>` 节点下的标签定义中添加一个描述中提到的行,以删除 `noscript` 标签,或者完全删除它(如果存在的话)也是有用的。由于先前提到的策略设置是 mXSS 攻击生效的前提条件,按照建议更改这些设置应足以在使用受漏洞影响的库的情况下保护您免受此漏洞的影响。然而,现有的漏洞仍然存在于 AntiSamy 或其解析器依赖项(HtmlAgilityPack)中。此解决方法的安全性依赖于可能会在未来发生变化的配置,且未解决漏洞的根本原因。因此,强烈建议升级至修复版本的 AntiSamy。解决建议
"将组件 owasp.antisamy 升级至 1.2.0 及以上版本"- 攻击路径 本地
- 攻击复杂度 困难
- 权限要求 普通权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论