GHSA-7f42-p84j-f58p

Опубликовано: 21 мар. 2018

Источник: github

Github: Прошло ревью

CVSS3: 7.5

Описание

Sanitize vulnerable to Improper Input Validation and Cross-site Scripting

When Sanitize <= 4.6.2 is used in combination with libxml2 >= 2.9.2, a specially crafted HTML fragment can cause libxml2 to generate improperly escaped output, allowing non-whitelisted attributes to be used on whitelisted elements.

This can allow HTML and JavaScript injection, which could result in XSS if Sanitize's output is served to browsers.

Ссылки

Пакеты

Наименование

sanitize

rubygems

Затронутые версииВерсия исправления

>= 3.0.0, < 4.6.3

4.6.3

EPSS

Процентиль: 48%

0.00251

Низкий

7.5 High

CVSS3

CVE ID

CVE-2018-3740

Дефекты

CWE-20

CWE-79

Связанные уязвимости

CVE-2018-3740

CVSS3: 7.5

ubuntu

почти 8 лет назад

A specially crafted HTML fragment can cause Sanitize gem for Ruby to allow non-whitelisted attributes to be used on a whitelisted HTML element.

CVE-2018-3740

CVSS3: 7.5

nvd

почти 8 лет назад

A specially crafted HTML fragment can cause Sanitize gem for Ruby to allow non-whitelisted attributes to be used on a whitelisted HTML element.

CVE-2018-3740

CVSS3: 7.5

debian

почти 8 лет назад

A specially crafted HTML fragment can cause Sanitize gem for Ruby to a ...

BDU:2019-01252

CVSS3: 7.5

fstec

почти 8 лет назад

Уязвимость библиотеки Sanitize для языка программирования Ruby, позволяющая нарушителю обойти заданные ограничения на использование HTML атрибутов

EPSS

Процентиль: 48%

0.00251

Низкий

7.5 High

CVSS3

CVE ID

CVE-2018-3740

Дефекты

CWE-20

CWE-79