python-lxml-4.2.3-3.el8
エラータID: AXSA:2021-2726:02
リリース日:
2021/12/13 Monday - 16:24
題名:
python-lxml-4.2.3-3.el8
影響のあるチャネル:
Asianux Server 8 for x86_64
Severity:
Moderate
Description:
以下項目について対処しました。
[Security Fix]
- python-lxml のクリーンモジュールには、safe_attrs_only 引数と forms 引数を
無効にしている場合に Cleaner クラスが formaction 属性を削除せず、JavaScript が
サニタイザーを回避できる問題があり、リモートの攻撃者は不適切にサニタイズされた
HTML を操作しているユーザーに任意の JavaScript のコードを実行させることのできる、
クロスサイトスクリプティングの脆弱性があります。(CVE-2021-28957)
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2021-28957
An XSS vulnerability was discovered in python-lxml's clean module versions before 4.6.3. When disabling the safe_attrs_only and forms arguments, the Cleaner class does not remove the formaction attribute allowing for JS to bypass the sanitizer. A remote attacker could exploit this flaw to run arbitrary JS code on users who interact with incorrectly sanitized HTML. This issue is patched in lxml 4.6.3.
An XSS vulnerability was discovered in python-lxml's clean module versions before 4.6.3. When disabling the safe_attrs_only and forms arguments, the Cleaner class does not remove the formaction attribute allowing for JS to bypass the sanitizer. A remote attacker could exploit this flaw to run arbitrary JS code on users who interact with incorrectly sanitized HTML. This issue is patched in lxml 4.6.3.
追加情報:
N/A
ダウンロード:
SRPMS
- python-lxml-4.2.3-3.el8.src.rpm
MD5: c041428079b68390d989fbc5d3b90aed
SHA-256: 0957c7aeb6796afaa74370a53600bd4399f16ba37f513e1cc4d0b5184c7c06bc
Size: 4.28 MB
Asianux Server 8 for x86_64
- python3-lxml-4.2.3-3.el8.x86_64.rpm
MD5: 3046879e44a20e5063bc1e60ac7b41f2
SHA-256: 72f03bf1c5ceeee664e9f61a090a4d061c11905bdce3892a1d889fdc0fa04864
Size: 1.50 MB