python-jinja2-2.10.1-4.el8

エラータID: AXSA:2024-8289:02

リリース日: 
2024/06/17 Monday - 15:59
題名: 
python-jinja2-2.10.1-4.el8
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Jinja の xmlattr フィルターには、HTML テンプレート内に
任意の HTML 属性値を挿入できてしまう問題があるため、
リモートの攻撃者により、細工された HTML テンプレート
を介して、クロスサイトスクリプティング攻撃を可能とする
脆弱性が存在します。(CVE-2024-22195)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2024-22195
Jinja is an extensible templating engine. Special placeholders in the template allow writing code similar to Python syntax. It is possible to inject arbitrary HTML attributes into the rendered HTML template, potentially leading to Cross-Site Scripting (XSS). The Jinja `xmlattr` filter can be abused to inject arbitrary HTML attribute keys and values, bypassing the auto escaping mechanism and potentially leading to XSS. It may also be possible to bypass attribute validation checks if they are blacklist-based.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. python-jinja2-2.10.1-4.el8.src.rpm
    MD5: ff645d31d01e4fc9bf3a54e5b71bdd95
    SHA-256: f17033e422544bb588240758eacf2793dff82e35c403501c6de20efb787efbbc
    Size: 276.45 kB

Asianux Server 8 for x86_64
  1. python3-jinja2-2.10.1-4.el8.noarch.rpm
    MD5: 5ddd49b682fc68c3babc604417d0198a
    SHA-256: 9cc84fd8c33ebf31236c577380ec7d2475c648b42470a3679a0240c458f7676f
    Size: 536.75 kB