Описание
Уязвимость библиотеки очистки HTML Mozilla Bleach существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, провести атаку межсайтового скриптинга (XSS)
Вендор
Novell Inc.
Fedora Project
Сообщество свободного программного обеспечения
Mozilla Corp.
Наименование ПО
OpenSUSE Leap
Fedora
Debian GNU/Linux
Mozilla Bleach
Версия ПО
15.1 (OpenSUSE Leap)
30 (Fedora)
10 (Debian GNU/Linux)
31 (Fedora)
32 (Fedora)
11 (Debian GNU/Linux)
до 3.1.1 (Mozilla Bleach)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Novell Inc. OpenSUSE Leap 15.1
Fedora Project Fedora 30
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 31
Fedora Project Fedora 32
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
Для Mozilla Bleach:
https://github.com/mozilla/bleach/security/advisories/GHSA-q65m-pv3f-wr5r
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/72R4VFFHDRSQMNT7IZU3X2755ZP4HGNI/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OCNLM2MGQTOLCIVVYS2Z5S7KOQJR5JC4/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YTULPQB7HVPPYWEYVNHJGDTSPVIDHIZX/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-6802
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-6802.html
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 58%
0.00373
Низкий
6.1 Medium
CVSS3
6.4 Medium
CVSS2
Связанные уязвимости
CVSS3: 6.1
ubuntu
почти 6 лет назад
In Mozilla Bleach before 3.11, a mutation XSS affects users calling bleach.clean with noscript and a raw tag in the allowed/whitelisted tags option.
CVSS3: 6.1
nvd
почти 6 лет назад
In Mozilla Bleach before 3.11, a mutation XSS affects users calling bleach.clean with noscript and a raw tag in the allowed/whitelisted tags option.
CVSS3: 6.1
debian
почти 6 лет назад
In Mozilla Bleach before 3.11, a mutation XSS affects users calling bl ...
CVSS3: 6.1
github
почти 6 лет назад
XSS in Bleach when noscript and raw tag whitelisted
EPSS
Процентиль: 58%
0.00373
Низкий
6.1 Medium
CVSS3
6.4 Medium
CVSS2