CVE-2023-36823 in Sanitizeinformación

Resumen

por VulDB • 2026-07-02

Sanitize es un sanitizador de HTML y CSS basado en una lista blanca (allowlist). Mediante el uso de entradas cuidadosamente elaboradas, un atacante podría lograr filtrar código HTML y CSS arbitrario a través de Sanitize, afectando las versiones desde la 3.0.0 hasta anteriores a la 6.0.2, cuando Sanitize está configurado para utilizar la configuración integrada "relaxed" o bien al emplear una configuración personalizada que permita elementos `style` y uno o más at-rules (reglas de estilo) CSS. Esto podría provocar cross-site scripting (XSS) u otro comportamiento no deseado cuando el HTML y CSS maliciosos se renderizan en un navegador. Sanitize 6.0.2 realiza un escape adicional del contenido CSS dentro de los elementos `style`, lo cual corrige este problema. Los usuarios que no puedan actualizar pueden prevenir esta vulnerabilidad utilizando una configuración de Sanitize que no permita elementos `style`, empleando una configuración de Sanitize que no permita at-rules CSS, o bien escapando manualmente la secuencia de caracteres `</` como `<\/` en el contenido del elemento `style`.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub, Inc.

Reservar

2023-06-27

Divulgación

2023-07-06

Moderación

aceptado

Artículo

VDB-233232

CPE

listo

EPSS

0.00712

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!