Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-24539

Опубликовано: 11 мая 2023
Источник: nvd
CVSS3: 7.3
EPSS Низкий

Уязвимость внедрения HTML через некорректное закрытие CSS-контекста в шаблонах

Описание

Угловые скобки (< и >) не считаются опасными символами при вставке в контекст CSS. Однако шаблоны, содержащие несколько действий, разделённых символом /, могут привести к некорректному закрытию CSS-контекста и позволить внедрение неожиданных HTML-элементов, если они выполняются с недоверенным вводом.

Тип уязвимости

Внедрение HTML

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
Версия до 1.19.9 (исключая)
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
Версия от 1.20.0 (включая) до 1.20.4 (исключая)

EPSS

Процентиль: 21%
0.00065
Низкий

7.3 High

CVSS3

Дефекты

CWE-74
CWE-94

Связанные уязвимости

ubuntu логотип

CVE-2023-24539

CVSS3: 7.3
ubuntu
около 2 лет назад

Angle brackets (<>) are not considered dangerous characters when inserted into CSS contexts. Templates containing multiple actions separated by a '/' character can result in unexpectedly closing the CSS context and allowing for injection of unexpected HTML, if executed with untrusted input.

redhat логотип

CVE-2023-24539

CVSS3: 7.3
redhat
около 2 лет назад

Angle brackets (<>) are not considered dangerous characters when inserted into CSS contexts. Templates containing multiple actions separated by a '/' character can result in unexpectedly closing the CSS context and allowing for injection of unexpected HTML, if executed with untrusted input.

debian логотип

CVE-2023-24539

CVSS3: 7.3
debian
около 2 лет назад

Angle brackets (<>) are not considered dangerous characters when inser ...

github логотип

GHSA-3q6h-q44p-xw88

CVSS3: 7.3
github
около 2 лет назад

Angle brackets (<>) are not considered dangerous characters when inserted into CSS contexts. Templates containing multiple actions separated by a '/' character can result in unexpectedly closing the CSS context and allowing for injection of unexpected HTML, if executed with untrusted input.

fstec логотип

BDU:2023-03470

CVSS3: 7.3
fstec
около 2 лет назад

Уязвимость языка программирования Go, связанная с ошибками при обработке специальных символов &quot;&lt;&gt;&quot; в контексте CSS, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 21%
0.00065
Низкий

7.3 High

CVSS3

Дефекты

CWE-74
CWE-94