CVE-2019-10772

Опубликовано: 11 дек. 2019

Источник: nvd

CVSS3: 6.1

CVSS2: 4.3

EPSS Низкий

Описание

It is possible to bypass enshrined/svg-sanitize before 0.13.1 using the "xlink:href" attribute due to mishandling of the xlink namespace by the sanitizer.

Ссылки

https://snyk.io/vuln/SNYK-PHP-ENSHRINEDSVGSANITIZE-536969
Exploit
Third Party Advisory
https://snyk.io/vuln/SNYK-PHP-ENSHRINEDSVGSANITIZE-536969
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:svg-sanitizer_project:svg-sanitizer:*:*:*:*:*:*:*:*

Версия до 0.13.1 (исключая)

EPSS

Процентиль: 37%

0.00159

Низкий

6.1 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-79

Связанные уязвимости

GHSA-8rc5-hx3v-2jg7