Bleach
Уязвимости
5
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.02229
Распределение по критичности
Критический
1
Высокий
1
Средний
3
Низкий
0
Затронутые диапазоны версий
< 3.1.1< 3.1.2< 3.1.4< 3.3.0
Также сопоставлено как (исходные строки): bleach
Топ уязвимостей
CVE-2018-7753Проблема была обнаружена в Bleach 2.1.x до версии 2.1.3. Атрибуты, имеющие значения URI, неправильно очищались, если значения содержали символьные сущности. Используя символьные сущности, можно было создать значение URI со схемой, которая не была разрешена и которая проскользнула бы неочищенной.
CVE-2020-6817Поведение bleach.clean при анализе атрибутов стиля может привести к отказу в обслуживании регулярных выражений (ReDoS). Вызовы bleach.clean с разрешенным тегом с разрешенным атрибутом стиля уязвимы для ReDoS. Например, bleach.clean(..., attributes={'a': ['style']}).
CVE-2021-23980Мутационный XSS влияет на пользователей, вызывающих bleach.clean со всеми: svg или math в разрешенных тегах, p или br в разрешенных тегах, style, title, noscript, script, textarea, noframes, iframe или xmp в разрешенных тегах, аргумент ключевого слова strip_comments=False Примечание: ни один из вышеперечисленных тегов не входит в разрешенные теги по умолчанию, и strip_comments по умолчанию имеет значение True.
CVE-2020-6816В Mozilla Bleach до версии 3.12, mutation XSS в bleach.clean, когда RCDATA и теги svg или math внесены в белый список, а аргумент ключевого слова strip=False.
CVE-2020-6802В Mozilla Bleach до версии 3.11, mutation XSS влияет на пользователей, вызывающих bleach.clean с noscript и необработанным тегом в опции разрешенных/внесенных в белый список тегов.