概述
CVE-2025-66021是一个影响OWASP Java HTML消毒器的安全漏洞,CVSS 4.0评分为8.6(高危)。该漏洞允许攻击者通过特制的noscript标签和style标签绕过XSS防护机制。
漏洞描述
OWASP Java HTML消毒器是一个用Java编写的可配置HTML消毒器,旨在允许第三方HTML内容在Web应用中使用的同时提供XSS防护。在20240325.1版本中,当HtmlPolicyBuilder允许noscript标签和包含allowTextIn的style标签时,存在XSS漏洞。
如果攻击者精心构造载荷,使其不消毒CSS内容并允许HTML策略中未提及的标签,则可能导致XSS攻击。截至发布时,尚无已知补丁可用。
漏洞时间线
- 发布日期:2025年11月26日 02:15
- 最后修改:2025年11月26日 16:15
- 远程利用:是
- 信息来源:security-advisories@github.com
受影响产品
目前尚未记录受影响的具体产品信息:
- 受影响供应商总数:0
- 受影响产品总数:0
CVSS评分
| 评分 | 版本 | 严重等级 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 8.6 | CVSS 4.0 | 高危 | - | - | - | security-advisories@github.com |
解决方案
缓解XSS攻击的建议措施:
- 仔细配置HTML策略,避免允许包含allowTextIn的noscript和style标签
- 有效消毒style标签内的CSS内容
- 限制HTML策略中的标签包含
- 等待并应用供应商发布的补丁
相关参考
| URL | 资源 |
|---|---|
| https://github.com/OWASP/java-html-sanitizer/security/advisories/GHSA-g9gq-3pfx-2gw2 | GitHub安全公告 |
CWE关联
CWE-79:在网页生成过程中输入消毒不当(跨站脚本)
CAPEC攻击模式
- CAPEC-63:跨站脚本(XSS)
- CAPEC-85:AJAX足迹识别
- CAPEC-209:利用MIME类型不匹配的XSS
- CAPEC-588:基于DOM的XSS
- CAPEC-591:反射型XSS
- CAPEC-592:存储型XSS
漏洞历史记录
2025年11月26日 - 由security-advisories@github.com添加:
- 添加漏洞描述
- 添加CVSS 4.0评分
- 添加CWE-79分类
- 添加参考链接
2025年11月26日 - 由134c704f-9b21-4f2e-91b3-4a467353bcc0修改:
- 添加参考链接