Lxml
Уязвимости
7
Эксплуатируемые
0
Макс. CVSS
9.1
Макс. EPSS
0.06333
Распределение по критичности
Критический
1
Высокий
2
Средний
4
Низкий
0
Также сопоставлено как (исходные строки): lxml
Топ уязвимостей
CVE-2024-37388Уязвимость XML External Entity (XXE) в функции ebookmeta.get_metadata в lxml до версии v4.9.1 позволяет злоумышленникам получить доступ к конфиденциальной информации или вызвать отказ в обслуживании (DoS) через специально созданный XML-ввод.
CVE-2021-43818lxml — это библиотека для обработки XML и HTML на языке Python. До версии 4.6.5 HTML Cleaner в lxml.html позволяет проходить определенному созданному содержимому скрипта, а также содержимому скрипта в файлах SVG, встроенных с использованием URI данных. Пользователям, которые используют HTML Cleaner в контексте, связанном с безопасностью, следует обновиться до lxml 4.6.5, чтобы получить исправление. Доступных обходных решений нет.
CVE-2022-2309Разыменование нулевого указателя позволяет злоумышленникам вызвать отказ в обслуживании (или сбой приложения). Это относится только к случаям, когда lxml используется вместе с libxml2 2.9.10 до 2.9.14. libxml2 2.9.9 и более ранние версии не подвержены уязвимости. Это позволяет вызывать сбои через поддельные входные данные, учитывая уязвимую последовательность кода в приложении. Уязвимость вызвана функцией iterwalk (также используемой функцией canonicalize). Такой код не должен широко использоваться, учитывая, что разбор + iterwalk обычно заменяются более эффективной функцией iterparse. Однако, например, XML-конвертер, который сериализует в C14N, также будет уязвим, и существуют законные случаи использования этой последовательности кода. Если ненадежные входные данные получены (в том числе удаленно) и обрабатываются через функцию iterwalk, может быть вызван сбой.
CVE-2021-28957Уязвимость XSS была обнаружена в модуле clean python-lxml версий до 4.6.3. При отключении аргументов safe_attrs_only и forms класс Cleaner не удаляет атрибут formaction, что позволяет JS обходить санитайзер. Удаленный злоумышленник может использовать этот недостаток для запуска произвольного JS кода на пользователях, которые взаимодействуют с неправильно санированными HTML. Эта проблема исправлена в lxml 4.6.3.
CVE-2020-27783В модуле очистки python-lxml обнаружена уязвимость XSS. Парсер модуля неправильно имитировал браузеры, что вызвало различное поведение между санитайзером и страницей пользователя. Удаленный злоумышленник мог использовать эту ошибку для запуска произвольного HTML/JS кода.
CVE-2014-3146Неполная уязвимость черного списка в модуле lxml.html.clean в lxml до версии 3.3.5 позволяет удаленным злоумышленникам проводить атаки межсайтового скриптинга (XSS) через управляющие символы в схеме ссылок для функции clean_html.
CVE-2018-19787В lxml до версии 4.2.5 обнаружена уязвимость. lxml/html/clean.py в модуле lxml.html.clean не удаляет URL-адреса javascript:, использующие экранирование, что позволяет удаленному злоумышленнику проводить XSS-атаки, как продемонстрировано "j a v a s c r i p t:" в Internet Explorer. Это проблема, аналогичная CVE-2014-3146.