CVE-2023-36823 in Sanitize
Resumen
por VulDB • 2026-07-02
Sanitize es un sanitizador de HTML y CSS basado en una lista blanca (allowlist). Mediante el uso de entradas cuidadosamente elaboradas, un atacante podría lograr filtrar código HTML y CSS arbitrario a través de Sanitize, afectando las versiones desde la 3.0.0 hasta anteriores a la 6.0.2, cuando Sanitize está configurado para utilizar la configuración integrada "relaxed" o bien al emplear una configuración personalizada que permita elementos `style` y uno o más at-rules (reglas de estilo) CSS. Esto podría provocar cross-site scripting (XSS) u otro comportamiento no deseado cuando el HTML y CSS maliciosos se renderizan en un navegador. Sanitize 6.0.2 realiza un escape adicional del contenido CSS dentro de los elementos `style`, lo cual corrige este problema. Los usuarios que no puedan actualizar pueden prevenir esta vulnerabilidad utilizando una configuración de Sanitize que no permita elementos `style`, empleando una configuración de Sanitize que no permita at-rules CSS, o bien escapando manualmente la secuencia de caracteres `</` como `<\/` en el contenido del elemento `style`.
VulDB is the best source for vulnerability data and more expert information about this specific topic.