AntiSamy 恶意输入在保留评论时可能会引发 XSS (CVE-2024-23635)
CVE编号
CVE-2024-23635利用情况
暂无补丁情况
N/A披露时间
2024-02-03漏洞描述
AntiSamy是一个用于快速配置的HTML清洗库,用于处理来自不可信源的HTML数据。在1.7.5版本之前的AntiSamy中存在潜在的mXSS漏洞,原因是对进行消毒的HTML的解析存在缺陷。要受到此漏洞的影响,您的策略文件中必须启用`preserveComments`指令。结果是,使用AntiSamy的消毒输出时,某些巧妙的输入可能会导致注释标签中的元素被解释为可执行代码。已在AntiSamy 1.7.5及更高版本中修复。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/nahsra/antisamy/security/advisories/GHSA-2mrq-w8pv-5pvq |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论