Michal Bentkowski descobriu que o ruby-sanitize, um higienizador de HTML baseado em lista de permissões, é propenso a uma vulnerabilidade de desvio de higienização de HTML ao usar a configuração "relaxada" ou personalizada que permite certos elementos. Conteúdo em um ou element may not be sanitized correctly even
- ------------------------------------------------- ------------------------
Aviso de Segurança Debian DSA-4730-1 security@debian.org
https://www.debian.org/security/ Salvatore Bonaccorso
19 de julho de 2020 https://www.debian.org/security/faq
- ------------------------------------------------- ------------------------
Pacote: ruby-sanitize
ID da CVE: CVE-2020-4054
Bug do Debian: 963808
Michal Bentkowski descobriu que o ruby-sanitize, um HTML baseado em lista de permissões
desinfetante, é propenso a uma vulnerabilidade de desvio de higienização HTML quando
usando o "relaxado" ou uma configuração personalizada, permitindo certos elementos.
Conteúdo em um ou element may not be sanitized correctly even
if math and svg are not in the allowlist.
For the stable distribution (buster), this problem has been fixed in
version 4.6.6-2.1~deb10u1.
We recommend that you upgrade your ruby-sanitize packages.
For the detailed security status of ruby-sanitize please refer to its
security tracker page at:
https://security-tracker.debian.org/tracker/ruby-sanitize
Further information about Debian Security Advisories, how to apply
these updates to your system and frequently asked questions can be
found at: https://www.debian.org/security/
Mailing list: debian-security-announce@lists.debian.org
Fonte
Até a próxima !
Nenhum comentário:
Postar um comentário