漏洞也可能导致其他浏览器端的利用,现在已修复
更新一个跨站脚本(XSS)安全缺陷已被用Sanitize修补,这是用于HTML和CSS消毒的允许列表的Ruby Gem。
高度严重性脆弱性(CVE-2020-4054当内容被错误地消毒时,出现的情况也有可能使用户开放“其他浏览器侧攻击,例如数据剥落”,发现了这个缺陷的MichałBentkowski告诉每日swbeplay2018官网ig。
消毒是基于谷歌的Gumbo HTML5解析器和Crass CSS解析器,它们分别复制了现代浏览器使用的HTML和CSS解析。该宝石的下载超过2300万。
项目维护者瑞安·格罗夫(Ryan Grove)在一个中解剖了错误安全咨询发表于星期二(6月16日)。
“当使用Sanitize的'放松'配置或允许某些元素的自定义配置对HTML进行消毒时,某些内容<数学>或者即使数学和SVG不在允许清单中。”他解释说。
“使用精心制作的输入,攻击者可能能够通过消毒进行任意HTML偷偷摸摸,当该HTML在浏览器中呈现时,可能会导致XSS或其他不希望的行为。”
任何使用Sanitize的放松配置或允许这些HTML元素之一的自定义配置的人都可能脆弱:iframe,,,,数学,,,,noted,,,,noframes,,,,noscript,,,,纯文本,,,,脚本,,,,风格,,,,SVG, 或者XMP。
格罗夫在另一个单独的概念证明在github上。
Michal Bentkowski还发布了写上去详细说明了他如何绕过Ruby Sanitize库中的库中。
安全更新和解决方法
XSS错误影响Sanitize Sanitize版本3.0.0及更高版本,直至版本5.2.1,这修复了缺陷,并于6月16日发布。
安全测试和培训公司Securitum的首席安全研究员Bentkowski说:“我在发布安全咨询的前一天向维护者报告了该错误。”“他的回应时间令人钦佩!”
格罗夫斯为无法更新其应用程序的用户提供了解决方法:“覆盖Sanitize的默认值:remove_contents带有一个值的配置选项,该选项可确保数学和SVG当这些元素不在允许清单中时,(其中包括)完全消除了元素。”他说。
总部位于波兰的Bentkowski经历了一个富有成效的一周,还揭示了可以滥用Web应用程序使用的复制和粘贴功能中的缺点,以执行XSS攻击和数据剥离,如beplay体育能用吗报告每日swbeplay2018官网ig。
本文于7月23日更新,以引用Michal Bentkowski的文章
