CVE-2022-36033 in FLEXCUBE Enterprise Limits and Collateral Managementinformation

Résumé

par VulDB • 29/06/2026

jsoup est un analyseur HTML pour Java, conçu pour l'édition, le nettoyage, la récupération de données et la sécurité contre les attaques par script intersite (XSS). jsoup peut ne pas assainir correctement le code HTML contenant des expressions d'URL `javascript:`, ce qui pourrait permettre des attaques XSS lorsque l'utilisateur clique sur ce lien. Si l'option non par défaut `SafeList.preserveRelativeLinks` est activée, les URL `javascript:` présentes dans le HTML et conçues avec des caractères de contrôle ne seront pas assainies. Si le site où ce HTML est publié n'a pas défini une politique de sécurité du contenu (Content Security Policy), une attaque XSS devient alors possible. Ce problème a été corrigé dans jsoup 1.15.3. Les utilisateurs doivent mettre à jour vers cette version. De plus, comme les données non assainies ont pu être persistées, l'ancien contenu doit être de nouveau nettoyé en utilisant la version mise à jour. Pour remédier à ce problème sans effectuer immédiatement une mise à niveau : - désactivez `SafeList.preserveRelativeLinks`, ce qui réécrira les URL d'entrée sous forme d'URL absolues ; - assurez-vous qu'une [politique de sécurité du contenu](https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP) appropriée est définie. (Cela devrait être appliqué indépendamment de la mise à jour, conformément aux bonnes pratiques de défense en profondeur.)

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub, Inc.

Réserver

15/07/2022

Divulgation

29/08/2022

Modérer

accepté

Entrée

28

Relier

afficher

CPE

prêt

EPSS

0.01208

KEV

non

Activités

très faible

Secteur

Finance

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!