CVE-2023-36823 in Sanitizeinformazioni

Riassunto

di VulDB • 02/07/2026

Sanitize è un sanitizer HTML e CSS basato su una lista bianca (allowlist). Utilizzando input appositamente elaborati, un attaccante potrebbe riuscire a far passare codice HTML e CSS arbitrari attraverso Sanitize nelle versioni dalla 3.0.0 alla 6.0.2 esclusa, quando Sanitize è configurato per utilizzare la configurazione integrata "relaxed" o quando si utilizza una configurazione personalizzata che consente gli elementi `style` e uno o più at-rules CSS. Ciò potrebbe comportare cross-site scripting (XSS) o altri comportamenti indesiderati quando il codice HTML e CSS dannoso viene renderizzato in un browser. Sanitize 6.0.2 esegue un'ulteriore escape del contenuto CSS all'interno degli elementi `style`, risolvendo così questo problema. Gli utenti che non possono effettuare l'aggiornamento possono prevenire questa problematica utilizzando una configurazione di Sanitize che non consenta gli elementi `style`, impiegando una configurazione di Sanitize che non permetta at-rules CSS, oppure effettuando manualmente l'escape della sequenza di caratteri `</` come `<\/` nel contenuto degli elementi `style`.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

27/06/2023

Divulgazione

06/07/2023

Moderazione

accettato

CPE

pronto

EPSS

0.00712

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!