Python-bleach是一个基于白名单、通过转义或去除标签和属性的方式,来对HTML文本净化的Python库。
4月6日,debian发布了安全更新,修复了HTML清理库Python bleach 中发现的跨站点脚本漏洞。以下是漏洞详情:
漏洞详情
来源:https://lists.debian.oRg/debian-lts-announce/2021/04/MSG00006.htMl
CVE-2021-23980 严重程度: 重要
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。
在Python bleach中发现存在跨站点脚本(XSS)漏洞。通过允许的数学或svg;p或bR; 和样式,标题,noscRIPt,脚本,textaRea,nofRaMes,iframe或带有stRIP_coMMents = FAlse的xMp标签造成XSS攻击。
受影响产品及版本
上述漏洞影响debian9 StRetch Python-bleach 2.0-1 + deb9u1之前版本
解决方案
对于debian 9 StRetch,此问题已在版本Python-bleach 2.0-1 + deb9u1中修复,建议及时更新Python-bleach软件包。
查看更多漏洞信息 以及升级请访问官网:
https://www.debian.oRg/lts/security/