python-jinja2-2.11.3-5.el9
エラータID: AXSA:2024-7960:01
リリース日:
2024/05/30 Thursday - 14:55
題名:
python-jinja2-2.11.3-5.el9
影響のあるチャネル:
MIRACLE LINUX 9 for x86_64
Severity:
Moderate
Description:
以下項目について対処しました。
[Security Fix]
- Jinja の xmlattr フィルターには、HTML テンプレート内に
任意の HTML 属性値を挿入できてしまう問題があるため、
リモートの攻撃者により、細工された HTML テンプレート
を介して、クロスサイトスクリプティング攻撃を可能とする
脆弱性が存在します。(CVE-2024-22195)
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2024-22195
Jinja is an extensible templating engine. Special placeholders in the template allow writing code similar to Python syntax. It is possible to inject arbitrary HTML attributes into the rendered HTML template, potentially leading to Cross-Site Scripting (XSS). The Jinja `xmlattr` filter can be abused to inject arbitrary HTML attribute keys and values, bypassing the auto escaping mechanism and potentially leading to XSS. It may also be possible to bypass attribute validation checks if they are blacklist-based.
Jinja is an extensible templating engine. Special placeholders in the template allow writing code similar to Python syntax. It is possible to inject arbitrary HTML attributes into the rendered HTML template, potentially leading to Cross-Site Scripting (XSS). The Jinja `xmlattr` filter can be abused to inject arbitrary HTML attribute keys and values, bypassing the auto escaping mechanism and potentially leading to XSS. It may also be possible to bypass attribute validation checks if they are blacklist-based.
追加情報:
N/A
ダウンロード:
SRPMS
- python-jinja2-2.11.3-5.el9.src.rpm
MD5: 2de0f801658cd5400d83ceff79a120bc
SHA-256: 6a9420e8583dd1101ea5dad5b0bdf476360cea4bd6ef1d53ba3db0f6cfe6f33a
Size: 266.75 kB
Asianux Server 9 for x86_64
- python3-jinja2-2.11.3-5.el9.noarch.rpm
MD5: 89a63abb2d4a1d727c54bd9dd498e61e
SHA-256: 6f59e717710f30475445b81fbb5eaf0e8d24a15059d28c09f076f4ced1ba3870
Size: 226.73 kB