Уязвимость межсайтового скриптинга (XSS) в пакете html/template из-за некорректной обработки последовательностей "<script", "<!--" и "</script" в JS-литералах внутри контекста
Описание
Пакет html/template не применяет правильные правила для обработки последовательностей "<script", "<!--" и "</script>" внутри JS-литералов в контексте тега <script>. Это может привести к тому, что парсер шаблонов некорректно определит завершение контекста скрипта, что вызовет неправильное экранирование действий. Данная проблема может быть использована для проведения атаки межсайтового скриптинга (XSS).
Тип уязвимости
Межсайтовый скриптинг (XSS)
Ссылки
- Patch
- Issue Tracking
- Release Notes
- Vendor Advisory
- Third Party Advisory
- Patch
- Issue Tracking
- Release Notes
- Vendor Advisory
- Third Party Advisory
Уязвимые конфигурации
Одно из
EPSS
6.1 Medium
CVSS3
Дефекты
Связанные уязвимости
The html/template package does not apply the proper rules for handling occurrences of "<script", "<!--", and "</script" within JS literals in <script> contexts. This may cause the template parser to improperly consider script contexts to be terminated early, causing actions to be improperly escaped. This could be leveraged to perform an XSS attack.
The html/template package does not apply the proper rules for handling occurrences of "<script", "<!--", and "</script" within JS literals in <script> contexts. This may cause the template parser to improperly consider script contexts to be terminated early, causing actions to be improperly escaped. This could be leveraged to perform an XSS attack.
The html/template package does not apply the proper rules for handling ...
The html/template package does not apply the proper rules for handling occurrences of "<script", "<!--", and "</script" within JS literals in <script> contexts. This may cause the template parser to improperly consider script contexts to be terminated early, causing actions to be improperly escaped. This could be leveraged to perform an XSS attack.
Уязвимость пакета html/template языка программирования Go, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS)
EPSS
6.1 Medium
CVSS3