CVE-2023-36823 in Sanitize
Riassunto
di VulDB • 02/07/2026
Sanitize è un sanitizer HTML e CSS basato su una lista bianca (allowlist). Utilizzando input appositamente elaborati, un attaccante potrebbe riuscire a far passare codice HTML e CSS arbitrari attraverso Sanitize nelle versioni dalla 3.0.0 alla 6.0.2 esclusa, quando Sanitize è configurato per utilizzare la configurazione integrata "relaxed" o quando si utilizza una configurazione personalizzata che consente gli elementi `style` e uno o più at-rules CSS. Ciò potrebbe comportare cross-site scripting (XSS) o altri comportamenti indesiderati quando il codice HTML e CSS dannoso viene renderizzato in un browser. Sanitize 6.0.2 esegue un'ulteriore escape del contenuto CSS all'interno degli elementi `style`, risolvendo così questo problema. Gli utenti che non possono effettuare l'aggiornamento possono prevenire questa problematica utilizzando una configurazione di Sanitize che non consenta gli elementi `style`, impiegando una configurazione di Sanitize che non permetta at-rules CSS, oppure effettuando manualmente l'escape della sequenza di caratteri `</` come `<\/` nel contenuto degli elementi `style`.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.