CVE-2024-52595

lxml_html_clean is a project for HTML cleaning functionalities copied from `lxml.html.clean`. Prior to version 0.4.0, the HTML Parser in lxml does not properly handle context-switching for special HTML tags such as `<svg>`, `<math>` and `<noscript>`. This behavior deviates from how web browsers parse and interpret such tags. Specifically, content in CSS comments is ignored by lxml_html_clean but may be interpreted differently by web browsers, enabling malicious scripts to bypass the cleaning process. This vulnerability could lead to Cross-Site Scripting (XSS) attacks, compromising the security of users relying on lxml_html_clean in default configuration for sanitizing untrusted HTML content. Users employing the HTML cleaner in a security-sensitive context should upgrade to lxml 0.4.0, which addresses this issue. As a temporary mitigation, users can configure lxml_html_clean with the following settings to prevent the exploitation of this vulnerability. Via `remove_tags`, one may specify tags to remove - their content is moved to their parents' tags. Via `kill_tags`, one may specify tags to be removed completely. Via `allow_tags`, one may restrict the set of permissible tags, excluding context-switching tags like `<svg>`, `<math>` and `<noscript>`.
Configurations

Configuration 1 (hide)

cpe:2.3:a:fedoralovespython:lxml_html_clean:*:*:*:*:*:python:*:*

History

25 Nov 2024, 14:27

Type Values Removed Values Added
CPE cpe:2.3:a:fedoralovespython:lxml_html_clean:*:*:*:*:*:python:*:*
References () https://github.com/fedora-python/lxml_html_clean/commit/c5d816f86eb3707d72a8ecf5f3823e0daa1b3808 - () https://github.com/fedora-python/lxml_html_clean/commit/c5d816f86eb3707d72a8ecf5f3823e0daa1b3808 - Patch
References () https://github.com/fedora-python/lxml_html_clean/pull/19 - () https://github.com/fedora-python/lxml_html_clean/pull/19 - Patch
References () https://github.com/fedora-python/lxml_html_clean/security/advisories/GHSA-5jfw-gq64-q45f - () https://github.com/fedora-python/lxml_html_clean/security/advisories/GHSA-5jfw-gq64-q45f - Mitigation, Vendor Advisory
First Time Fedoralovespython
Fedoralovespython lxml Html Clean

21 Nov 2024, 13:57

Type Values Removed Values Added
Summary
  • (es) lxml_html_clean es un proyecto para funciones de limpieza de HTML copiadas de `lxml.html.clean`. Antes de la versión 0.4.0, el analizador HTML en lxml no manejaba correctamente el cambio de contexto para etiquetas HTML especiales como ``, `` y ``. Este comportamiento se desvía de la forma en que los navegadores web analizan e interpretan dichas etiquetas. Específicamente, lxml_html_clean ignora el contenido en los comentarios CSS pero puede ser interpretado de manera diferente por los navegadores web, lo que permite que los scripts maliciosos pasen por alto el proceso de limpieza. Esta vulnerabilidad podría conducir a ataques de Cross-Site Scripting (XSS), lo que compromete la seguridad de los usuarios que confían en lxml_html_clean en la configuración predeterminada para desinfectar contenido HTML no confiable. Los usuarios que emplean el limpiador HTML en un contexto sensible a la seguridad deben actualizar a lxml 0.4.0, que soluciona este problema. Como mitigación temporal, los usuarios pueden configurar lxml_html_clean con los siguientes ajustes para evitar la explotación de esta vulnerabilidad. Mediante `remove_tags`, se pueden especificar las etiquetas que se eliminarán; su contenido se moverá a las etiquetas de sus padres. Mediante `kill_tags`, se pueden especificar las etiquetas que se eliminarán por completo. Mediante `allow_tags`, se puede restringir el conjunto de etiquetas permitidas, excluyendo las etiquetas que cambian de contexto como ``, `` y ``.

19 Nov 2024, 22:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-11-19 22:15

Updated : 2024-11-25 14:27


NVD link : CVE-2024-52595

Mitre link : CVE-2024-52595

CVE.ORG link : CVE-2024-52595


JSON object : View

Products Affected

fedoralovespython

  • lxml_html_clean
CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

CWE-83

Improper Neutralization of Script in Attributes in a Web Page

CWE-184

Incomplete List of Disallowed Inputs