Vulnerabilità: CVE-2020-26293

HtmlSanitizer è una libreria .NET per la pulizia di frammenti HTML e documenti da costrutti che possono portare ad attacchi XSS. In HtmlSanitizer prima della versione 5.0.372, c’è una possibile bypass XSS se è consentito tag di stile. Se avete permesso esplicito il tag “ <style>, un utente malintenzionato potrebbe creare HTML che include lo script dopo aver attraversato il disinfettante. Le impostazioni predefinite non accettare il `<style> tag` quindi non c’è alcun rischio se non si hanno permesso esplicito il tag “ <style>. Il problema è stato risolto nella versione 5.0.372.


https://github.com/mganss/HtmlSanitizer/security/advisories/GHSA-8j9v-h2vp-2hhv
https://github.com/mganss/HtmlSanitizer/security/advisories/GHSA-8j9v-h2vp-2hhv
https://github.com/mganss/HtmlSanitizer/commit/a3a7602a44d4155d51ec0fbbedc2a49e9c7e2eb8
https://github.com/mganss/HtmlSanitizer/commit/a3a7602a44d4155d51ec0fbbedc2a49e9c7e2eb8
https://github.com/mganss/HtmlSanitizer/releases/tag/v5.0.372
https://github.com/mganss/HtmlSanitizer/releases/tag/v5.0.372
https://www.nuget.org/packages/HtmlSanitizer/
https://www.nuget.org/packages/HtmlSanitizer/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26293


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi