Python-bleach是一个基于白名单,通过转义或去除标签和属性的方式,对HTML文本进行净化的Python库。
4月6日,Debian发布了安全更新,修复了在HTML清理库Python bleach中发现的跨站点脚本漏洞。以下是漏洞的详细信息:
漏洞详情
CVE-2021-23980 严重程度: 重要
XSS攻击利用网页开发过程中的漏洞,通过注入恶意指令代码,使用户加载并执行攻击者制造的恶意网页程序。
在Python bleach中发现存在跨站点脚本(XSS)漏洞。该漏洞允许不当的标签和属性,如数学、svg、p、br、样式、标题、noscRIPt、脚本、textaRea、nofRaMes、iframe或带有stRIP_coMMents = FAlse的xMp标签,从而导致XSS攻击。
受影响产品及版本
该漏洞影响Debian 9 Stretch的Python-bleach版本2.0-1及之前版本。
解决方案
对于Debian 9 Stretch,此问题已在Python-bleach 2.0-1+deb9u1中修复,建议用户及时更新Python-bleach软件包。
有关更多漏洞信息及升级,请访问官方网站:
https://www.debian.oRg/lts/security/
