GHSA-8rc5-hx3v-2jg7

Опубликовано: 27 фев. 2020

Источник: github

Github: Прошло ревью

CVSS3: 6.1

Описание

Sanitizer bypass in svg-sanitizer

It is possible to bypass enshrined/svg-sanitize before 0.13.1 using the "xlink:href" attribute due to mishandling of the xlink namespace by the sanitizer.

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2019-10772
https://github.com/darylldoyle/svg-sanitizer/commit/6add43e5c5649bc40e3afcb68c522720dcb336f9
https://snyk.io/vuln/SNYK-PHP-ENSHRINEDSVGSANITIZE-536969

Пакеты

Наименование

enshrined/svg-sanitize

composer

Затронутые версииВерсия исправления

< 0.13.1

0.13.1

EPSS

Процентиль: 37%

0.00159

Низкий

6.1 Medium

CVSS3

CVE ID

CVE-2019-10772

Дефекты

CWE-79

Связанные уязвимости

CVE-2019-10772

CVSS3: 6.1

nvd

около 6 лет назад

It is possible to bypass enshrined/svg-sanitize before 0.13.1 using the "xlink:href" attribute due to mishandling of the xlink namespace by the sanitizer.

EPSS

Процентиль: 37%

0.00159

Низкий

6.1 Medium

CVSS3

CVE ID

CVE-2019-10772

Дефекты

CWE-79