Уязвимость неполного черного списка в модуле "lxml.html.clean" библиотеки lxml, позволяющая проводить атаки межсайтового скриптинга (XSS) через управляющие символы в схеме ссылок
Описание
Обнаружена уязвимость неполного черного списка в модуле lxml.html.clean библиотеки lxml. Удалённые злоумышленники могут проводить атаки межсайтового скриптинга (XSS) через управляющие символы в схеме ссылок, передаваемых в функцию clean_html.
Заявление
Служба безопасности Red Hat оценила эту проблему как имеющую низкое влияние на безопасность. В настоящее время не планируется устранение данной уязвимости в будущих обновлениях. Для получения дополнительной информации обратитесь к классификации серьёзности проблем.
Затронутые версии ПО
- lxml до версии 3.3.5
Тип уязвимости
Межсайтовый скриптинг (XSS)
Затронутые пакеты
| Платформа | Пакет | Состояние | Рекомендация | Релиз |
|---|---|---|---|---|
| Red Hat Enterprise Linux 5 | python-lxml | Will not fix | ||
| Red Hat Enterprise Linux 6 | python-lxml | Will not fix | ||
| Red Hat Enterprise Linux 7 | python-lxml | Will not fix |
Показывать по
Дополнительная информация
Статус:
EPSS
2.6 Low
CVSS2
Связанные уязвимости
Incomplete blacklist vulnerability in the lxml.html.clean module in lxml before 3.3.5 allows remote attackers to conduct cross-site scripting (XSS) attacks via control characters in the link scheme to the clean_html function.
Incomplete blacklist vulnerability in the lxml.html.clean module in lxml before 3.3.5 allows remote attackers to conduct cross-site scripting (XSS) attacks via control characters in the link scheme to the clean_html function.
Incomplete blacklist vulnerability in the lxml.html.clean module in lx ...
lxml Cross-site Scripting Via Control Characters
Уязвимости операционной системы Debian GNU/Linux, позволяющие удаленному злоумышленнику нарушить целостность защищаемой информации
EPSS
2.6 Low
CVSS2