Katalog CVE

CVE-2026-47344

NiskieCVSS 2.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.05%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

W przypadku włączonej opcji ALLOW_INSECURE_RAW_TEXT, tagi zamykające z wariantami białych znaków (np. </style >) nie są rozpoznawane przez sanitizator, ale są akceptowane przez przeglądarki jako prawidłowe tagi końcowe. To pozwala na obejście mechanizmu zapobiegania atakom XSS w typo3/html-sanitizer przed wersją 2.3.2.

Ocena ryzyka

Organizacje mogą być narażone na ataki XSS, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Wykorzystanie tej podatności może zagrażać integralności aplikacji webowych.

Rekomendacja

Zaleca się aktualizację do wersji 2.3.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto rozważyć wyłączenie opcji ALLOW_INSECURE_RAW_TEXT, aby zwiększyć bezpieczeństwo aplikacji.

Oryginalny opis (angielski, źródło NVD)

When ALLOW_INSECURE_RAW_TEXT is enabled, whitespace-variant closing tags (e.g., </style\t>) are not recognized by the sanitizer but accepted by browsers as valid end tags, allowing subsequent content to escape sanitization. This allows bypassing the cross-site scripting prevention mechanism of typo3/html-sanitizer before version 2.3.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS