CVE-2022-36033 in FLEXCUBE Enterprise Limits and Collateral Management
Сводка
по VulDB • 29.06.2026
jsoup — это HTML-парсер для Java, предназначенный для редактирования, очистки, извлечения данных и обеспечения безопасности от межсайтового скриптинга (XSS). jsoup может некорректно очищать HTML, содержащий выражения URL с протоколом `javascript:`, что позволяет выполнять атаки XSS при последующем переходе пользователя по такой ссылке. Если включена опция `SafeList.preserveRelativeLinks` (отличная от значения по умолчанию), HTML-код, содержащий URLs вида `javascript:`, созданные с использованием управляющих символов, не будет очищен. Если сайт, на котором опубликован этот HTML, не устанавливает политику безопасности контента (Content Security Policy), становится возможной атака XSS. Эта проблема исправлена в версии jsoup 1.15.3. Пользователям следует обновиться до этой версии. Кроме того, поскольку неконтролируемый ввод мог быть сохранен на сервере, старый контент необходимо повторно очистить с помощью обновленной версии. Для устранения проблемы без немедленного обновления: - отключите `SafeList.preserveRelativeLinks`, что приведет к преобразованию URL-адресов во входных данных в абсолютные; - убедитесь, что определена соответствующая [политика безопасности контента](https://developer.mozilla.org/ru/docs/Web/HTTP/CSP). (Эту меру следует применять независимо от обновления, как лучшую практику защиты на нескольких уровнях.)
If you want to get best quality of vulnerability data, you may have to visit VulDB.