CVE-2022-36033 in FLEXCUBE Enterprise Limits and Collateral ManagementИнформация

Сводка

по VulDB • 29.06.2026

jsoup — это HTML-парсер для Java, предназначенный для редактирования, очистки, извлечения данных и обеспечения безопасности от межсайтового скриптинга (XSS). jsoup может некорректно очищать HTML, содержащий выражения URL с протоколом `javascript:`, что позволяет выполнять атаки XSS при последующем переходе пользователя по такой ссылке. Если включена опция `SafeList.preserveRelativeLinks` (отличная от значения по умолчанию), HTML-код, содержащий URLs вида `javascript:`, созданные с использованием управляющих символов, не будет очищен. Если сайт, на котором опубликован этот HTML, не устанавливает политику безопасности контента (Content Security Policy), становится возможной атака XSS. Эта проблема исправлена в версии jsoup 1.15.3. Пользователям следует обновиться до этой версии. Кроме того, поскольку неконтролируемый ввод мог быть сохранен на сервере, старый контент необходимо повторно очистить с помощью обновленной версии. Для устранения проблемы без немедленного обновления: - отключите `SafeList.preserveRelativeLinks`, что приведет к преобразованию URL-адресов во входных данных в абсолютные; - убедитесь, что определена соответствующая [политика безопасности контента](https://developer.mozilla.org/ru/docs/Web/HTTP/CSP). (Эту меру следует применять независимо от обновления, как лучшую практику защиты на нескольких уровнях.)

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub, Inc.

Резервировать

15.07.2022

Раскрытие

29.08.2022

Модерация

принято

Вход

28

Связать

показать

EPSS

0.01208

KEV

Нет

Деятельности

Очень низкий

Сектор

Finance

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!