CVE-2022-36033 in FLEXCUBE Enterprise Limits and Collateral Management信息

摘要

由 VulDB • 2026-06-20

jsoup 是一个专为 HTML 编辑、清理、抓取以及防范跨站脚本攻击(XSS)而构建的 Java HTML 解析器。jsoup 可能无法正确清理包含 `javascript:` URL 表达式的 HTML,这可能导致读者随后点击该链接时遭受 XSS 攻击。如果启用了非默认的 `SafeList.preserveRelativeLinks` 选项,包含使用控制字符构造的 `javascript:` URL 的 HTML 将不会被清理。如果发布该 HTML 的网站未设置内容安全策略(Content Security Policy),则可能发生 XSS 攻击。此问题已在 jsoup 1.15.3 中修复。用户应升级至该版本。此外,由于未清理的输入可能已被持久化,应使用更新后的版本再次清理旧内容。若要在不立即升级的情况下缓解此问题:- 禁用 `SafeList.preserveRelativeLinks`,这将把输入 URL 重写为绝对 URL;- 确保定义了适当的[内容安全策略](https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP)。(无论是否升级,都应使用此策略,作为纵深防御的最佳实践。)

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

预定

2022-07-15

披露

2022-08-29

管理

已接受

条目

28

连接

显示

EPSS

0.01208

KEV

活动

非常低

部门

Finance

来源

Might our Artificial Intelligence support you?

Check our Alexa App!