Уязвимость межсайтового скриптинга (XSS) в пакете html/template из-за некорректной обработки HTML-подобных комментариев и хэшбэнгов в контексте
Описание
Пакет html/template не обрабатывает корректно HTML-подобные комментарии вида "" и хэшбэнг-комментарии вида "#!" в контексте тега <script>. Это может привести к тому, что парсер шаблонов неправильно интерпретирует содержимое контекста <script>, и действия могут быть некорректно экранированы. Данная проблема может быть использована для проведения атаки межсайтового скриптинга (XSS).
Тип уязвимости
Межсайтовый скрипт (XSS)
Ссылки
- Patch
- Issue Tracking
- Mailing ListRelease Notes
- Vendor Advisory
- Third Party Advisory
- Patch
- Issue Tracking
- Mailing ListRelease Notes
- Vendor Advisory
- Third Party Advisory
Уязвимые конфигурации
Одно из
EPSS
6.1 Medium
CVSS3
Дефекты
Связанные уязвимости
The html/template package does not properly handle HTML-like "" comment tokens, nor hashbang "#!" comment tokens, in <script> contexts. This may cause the template parser to improperly interpret the contents of <script> contexts, causing actions to be improperly escaped. This may be leveraged to perform an XSS attack.
The html/template package does not properly handle HTML-like "" comment tokens, nor hashbang "#!" comment tokens, in <script> contexts. This may cause the template parser to improperly interpret the contents of <script> contexts, causing actions to be improperly escaped. This may be leveraged to perform an XSS attack.
The html/template package does not properly handle HTML-like "" commen ...
The html/template package does not properly handle HTML-like "" comment tokens, nor hashbang "#!" comment tokens, in <script> contexts. This may cause the template parser to improperly interpret the contents of <script> contexts, causing actions to be improperly escaped. This may be leveraged to perform an XSS attack.
Уязвимость пакета html/template языка программирования Go, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS)
EPSS
6.1 Medium
CVSS3