ГлавнаяБаза уязвимостей БДУ → BDU:2024-04170
6.4средняя

BDU:2024-04170

Уязвимость парсера HtmlAgilityPack библиотеки для выполнения быстрой настраиваемой очистки HTML AntiSamy, позволяющая нарушителю проводить межсайтовые сценарные атаки
Опубликовано: 2024-05-29
Описание

Уязвимость парсера HtmlAgilityPack библиотеки для выполнения быстрой настраиваемой очистки HTML AntiSamy связана с непринятием мер по защите структуры веб-страницы в результате доступа к директиве preserveComments. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки

Затрагиваемое ПО и версии
AntiSamy (до 1.2.0)
Способ устранения

Использование рекомендаций:
https://github.com/spassarop/antisamy-dotnet/commit/7e500daef6ad9c10e97c68feab78f4cb6e3083c6
https://github.com/spassarop/antisamy-dotnet/commit/8117911933e75a25cd0054ef017577486338444a
https://github.com/spassarop/antisamy-dotnet/releases/tag/v1.2.0

Компенсирующие меры:
В случае невозможности установить обновление отредактируйте файл политики AntiSamy (например, antisamy.xml), удалив директиву preserveComments или установив для нее значение false.
Удалите тег <noscript> , определяющий секцию HTML кода, добавив его в определения тегов под <tagrules> узлом (или полностью удалив его, если он присутствует):
<tag name="noscript" action="remove"/>

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://vuldb.com/?id.249520https://github.com/spassarop/antisamy-dotnet/commit/7e500daef6ad9c10e97c68feab78f4cb6e3083c6https://github.com/spassarop/antisamy-dotnet/commit/8117911933e75a25cd0054ef017577486338444ahttps://github.com/spassarop/antisamy-dotnet/security/advisories/GHSA-8x6f-956f-q43w
Проверьте безопасность своего сайта и почты → Полная проверка домена