Уязвимость парсера HtmlAgilityPack библиотеки для выполнения быстрой настраиваемой очистки HTML AntiSamy связана с непринятием мер по защите структуры веб-страницы в результате доступа к директиве preserveComments. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, проводить межсайтовые сценарные атаки
Использование рекомендаций:
https://github.com/spassarop/antisamy-dotnet/commit/7e500daef6ad9c10e97c68feab78f4cb6e3083c6
https://github.com/spassarop/antisamy-dotnet/commit/8117911933e75a25cd0054ef017577486338444a
https://github.com/spassarop/antisamy-dotnet/releases/tag/v1.2.0
Компенсирующие меры:
В случае невозможности установить обновление отредактируйте файл политики AntiSamy (например, antisamy.xml), удалив директиву preserveComments или установив для нее значение false.
Удалите тег <noscript> , определяющий секцию HTML кода, добавив его в определения тегов под <tagrules> узлом (или полностью удалив его, если он присутствует):
<tag name="noscript" action="remove"/>
| Балл | 6.4 — средняя опасность |