发布日期:2024-01-02
更新日期:2024-03-07
受影响系统:
OWASP Antisamy < 1.2.0
描述:
CVE(CAN) ID: CVE-2023-51652
OWASP AntiSamy.NET是美国OWASP基金会的一个用于HTML和CSS编码的库。
OWASP AntiSamy.NET 1.2.0之前版本可能存在跨站点脚本漏洞,该漏洞源于对正在清理的HTML进行有缺陷的解析,攻击者可在策略文件中启用"preserveComments"指令,并且同时允许某些标记,当使用AntiSmy的清理输出时,就可能导致注释标签中的元素被认作是可执行的。
< *链接:https://github.com/spassarop/antisamy-dotnet/security/advisories/GHSA-8x6f-956f-q43w
*>
建议:
厂商补丁:
OWASP
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://github.com/spassarop/antisamy-dotnet/releases/tag/v1.2.0。
浏览次数:57
严重程度:0(网友投票)
