html5lib serializer 跨站脚本漏洞

漏洞信息详情

html5lib是一个用于解析HTML的Python库。serializer是其中的一个序列化和反序列化函数。

html5lib 0.99999999之前的版本中的serializer存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意的Web脚本或HTML。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://github.com/html5lib/html5lib-python/commit/9b8d8eb5afbc066b7fac9390f5ec75e5e8a7cab7

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2016/12/08/8

来源:html5lib.readthedocs.io

链接:https://html5lib.readthedocs.io/en/latest/changes.html#b9

来源:BID

链接:http://www.securityfocus.com/bid/95132

来源:github.com

链接:https://github.com/html5lib/html5lib-python/issues/11

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2016/12/06/5

来源:github.com

链接:https://github.com/html5lib/html5lib-python/commit/9b8d8eb5afbc066b7fac9390f5ec75e5e8a7cab7

来源:github.com

链接:https://github.com/html5lib/html5lib-python/issues/12