Python-bleach
Уязвимости
7
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.07605
Распределение по критичности
Критический
0
Высокий
3
Средний
4
Низкий
0
Также сопоставлено как (исходные строки): python-bleach
Топ уязвимостей
CVE-2021-46877jackson-databind версий 2.10.x - 2.12.x до 2.12.6 и 2.13.x до 2.13.1 позволяет злоумышленникам вызывать отказ в обслуживании (временное использование кучи объемом 2 ГБ на чтение) в необычных ситуациях, связанных с сериализацией JsonNode JDK.
CVE-2021-27291В pygments 1.1+, исправленном в 2.7.4, лексеры, используемые для анализа языков программирования, в значительной степени зависят от регулярных выражений. Некоторые из регулярных выражений имеют экспоненциальную или кубическую сложность в худшем случае и уязвимы к ReDoS. Создав вредоносный ввод, злоумышленник может вызвать отказ в обслуживании.
CVE-2021-20270Бесконечный цикл в SMLLexer в Pygments версий с 1.5 по 2.7.3 может привести к отказу в обслуживании при выполнении подсветки синтаксиса исходного файла Standard ML (SML), как продемонстрировано на примере ввода, содержащего только ключевое слово "exception".
CVE-2021-23980Мутационный XSS влияет на пользователей, вызывающих bleach.clean со всеми: svg или math в разрешенных тегах, p или br в разрешенных тегах, style, title, noscript, script, textarea, noframes, iframe или xmp в разрешенных тегах, аргумент ключевого слова strip_comments=False Примечание: ни один из вышеперечисленных тегов не входит в разрешенные теги по умолчанию, и strip_comments по умолчанию имеет значение True.
CVE-2020-7789Это влияет на пакет node-notifier до версии 9.0.0. Это позволяет злоумышленнику выполнять произвольные команды на машинах Linux из-за того, что параметры options не обрабатываются при передаче массива.
CVE-2020-15366Проблема обнаружена в ajv.validate() в Ajv (aka Another JSON Schema Validator) 6.12.2. Можно предоставить тщательно разработанную JSON-схему, которая позволяет выполнять другой код путем загрязнения прототипа. (Хотя не рекомендуется использовать ненадежные схемы, наихудшим случаем ненадежной схемы должен быть отказ в обслуживании, а не выполнение кода.)
CVE-2021-3281В Django 2.2 до 2.2.18, 3.0 до 3.0.12 и 3.1 до 3.1.6 метод django.utils.archive.extract (используемый "startapp --template" и "startproject --template") допускает обход каталогов через архив с абсолютными путями или относительными путями с точечными сегментами.