Lxml
Уязвимости
4
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.04002
Распределение по критичности
Критический
0
Высокий
1
Средний
3
Низкий
0
Также сопоставлено как (исходные строки): lxml
Топ уязвимостей
CVE-2021-43818lxml — это библиотека для обработки XML и HTML на языке Python. До версии 4.6.5 HTML Cleaner в lxml.html позволяет проходить определенному созданному содержимому скрипта, а также содержимому скрипта в файлах SVG, встроенных с использованием URI данных. Пользователям, которые используют HTML Cleaner в контексте, связанном с безопасностью, следует обновиться до lxml 4.6.5, чтобы получить исправление. Доступных обходных решений нет.
CVE-2021-28957Уязвимость XSS была обнаружена в модуле clean python-lxml версий до 4.6.3. При отключении аргументов safe_attrs_only и forms класс Cleaner не удаляет атрибут formaction, что позволяет JS обходить санитайзер. Удаленный злоумышленник может использовать этот недостаток для запуска произвольного JS кода на пользователях, которые взаимодействуют с неправильно санированными HTML. Эта проблема исправлена в lxml 4.6.3.
CVE-2020-27783В модуле очистки python-lxml обнаружена уязвимость XSS. Парсер модуля неправильно имитировал браузеры, что вызвало различное поведение между санитайзером и страницей пользователя. Удаленный злоумышленник мог использовать эту ошибку для запуска произвольного HTML/JS кода.
CVE-2018-19787В lxml до версии 4.2.5 обнаружена уязвимость. lxml/html/clean.py в модуле lxml.html.clean не удаляет URL-адреса javascript:, использующие экранирование, что позволяет удаленному злоумышленнику проводить XSS-атаки, как продемонстрировано "j a v a s c r i p t:" в Internet Explorer. Это проблема, аналогичная CVE-2014-3146.