Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04170

Опубликовано: 20 дек. 2023
Источник: fstec
CVSS3: 6.1
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость парсера HtmlAgilityPack библиотеки для выполнения быстрой настраиваемой очистки HTML AntiSamy связана с непринятием мер по защите структуры веб-страницы в результате доступа к директиве preserveComments. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки

Вендор

Arshan Dabirsiaghi

Наименование ПО

AntiSamy

Версия ПО

до 1.2.0 (AntiSamy)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/spassarop/antisamy-dotnet/commit/7e500daef6ad9c10e97c68feab78f4cb6e3083c6
https://github.com/spassarop/antisamy-dotnet/commit/8117911933e75a25cd0054ef017577486338444a
https://github.com/spassarop/antisamy-dotnet/releases/tag/v1.2.0
Компенсирующие меры:
В случае невозможности установить обновление отредактируйте файл политики AntiSamy (например, antisamy.xml), удалив директиву preserveComments или установив для нее значение false.
Удалите тег <noscript> , определяющий секцию HTML кода, добавив его в определения тегов под <tagrules> узлом (или полностью удалив его, если он присутствует):
<tag name="noscript" action="remove"/>

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 76%
0.00918
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-51652

CVSS3: 6.1
nvd
около 2 лет назад

OWASP AntiSamy .NET is a library for performing cleansing of HTML coming from untrusted sources. Prior to version 1.2.0, there is a potential for a mutation cross-site scripting (mXSS) vulnerability in AntiSamy caused by flawed parsing of the HTML being sanitized. To be subject to this vulnerability the `preserveComments` directive must be enabled in your policy file and also allow for certain tags at the same time. As a result, certain crafty inputs can result in elements in comment tags being interpreted as executable when using AntiSamy's sanitized output. This is patched in OWASP AntiSamy .NET 1.2.0 and later. See important remediation details in the reference given below. As a workaround, manually edit the AntiSamy policy file (e.g., antisamy.xml) by deleting the `preserveComments` directive or setting its value to `false`, if present. Also it would be useful to make AntiSamy remove the `noscript` tag by adding a line described in the GitHub Security Advisory to the tag definitio

github логотип

GHSA-8x6f-956f-q43w

CVSS3: 6.1
github
около 2 лет назад

OWASP.AntiSamy mXSS when preserving comments

EPSS

Процентиль: 76%
0.00918
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2