Уязвимость внедрения произвольных атрибутов в HTML из-за некорректной обработки в шаблонах
Описание
Шаблоны, содержащие действия в HTML-атрибутах без кавычек (например, attr={{.}}), при выполнении с пустым входным значением могут привести к выводу неожиданных результатов при разборе из-за правил нормализации HTML. Это может позволить злоумышленнику внедрять произвольные атрибуты в HTML-теги
Тип уязвимости
Внедрение произвольных атрибутов в HTML
Ссылки
- Patch
- Issue TrackingPatch
- Mailing ListRelease Notes
- Vendor Advisory
- Patch
- Issue TrackingPatch
- Mailing ListRelease Notes
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
7.3 High
CVSS3
Дефекты
Связанные уязвимости
Templates containing actions in unquoted HTML attributes (e.g. "attr={{.}}") executed with empty input can result in output with unexpected results when parsed due to HTML normalization rules. This may allow injection of arbitrary attributes into tags.
Templates containing actions in unquoted HTML attributes (e.g. "attr={{.}}") executed with empty input can result in output with unexpected results when parsed due to HTML normalization rules. This may allow injection of arbitrary attributes into tags.
Templates containing actions in unquoted HTML attributes (e.g. "attr={ ...
Templates containing actions in unquoted HTML attributes (e.g. "attr={{.}}") executed with empty input can result in output with unexpected results when parsed due to HTML normalization rules. This may allow injection of arbitrary attributes into tags.
Уязвимость языка программирования Go, существующая из-за непринятия мер по нейтрализации специальных элементов, позволяющая нарушителю внедрить произвольные атрибуты в теги HTML
EPSS
7.3 High
CVSS3