HTML Cleaner 允许在特殊上下文(如 svg 或 math)中编写的脚本通过(CVE-2024-52595)
CVE编号
CVE-2024-52595利用情况
暂无补丁情况
N/A披露时间
2024-11-20漏洞描述
`lxml_html_clean` 是一个用于 HTML 清理功能的项目,该项目复制自 `lxml.html.clean` 模块。在版本 0.4.0 之前,lxml 中的 HTML 解析器在处理特殊 HTML 标签(如 `<svg>`、`<math>` 和 `<noscript>`)时无法正确切换上下文。这种行为与浏览器解析和解释这些标签的方式不同。具体来说,CSS 注释中的内容被 `lxml_html_clean` 忽略,但可能会被浏览器以不同的方式解释,从而使恶意脚本绕过清理过程。这种漏洞可能导致跨站脚本攻击(Cross-Site Scripting,简称 XSS),威胁依赖 `lxml_html_clean` 默认配置来清理不可信 HTML 内容的用户的安全。在安全敏感环境中使用 HTML 清理器的用户应升级到 lxml 0.4.0 版本,该版本解决了这个问题。作为临时缓解措施,用户可以配置 `lxml_html_clean` 使用以下设置来防止利用此漏洞:通过 `remove_tags` 可以指定要删除的标签,它们的内容将被移动到其父标签中;通过 `kill_tags` 可以指定要完全删除的标签;通过 `allow_tags` 可以限制允许的标签集,排除像 `<svg>`、`<math>` 和 `<noscript>` 这样的上下文切换标签。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 网络
- 攻击复杂度 高
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 低
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论