rpms / python-lxml

Clone
Source Code
GIT

Blame SOURCES/CVE-2021-28957.patch

c4 c5 c5-plus c6 c6-plus c7 c7-beta c8 c8-beta c8-beta-stream-2.7 c8-beta-stream-3.8 c8-beta-stream-3.9 c8-containeronly-stream-flatpak c8-stream-2.7 c8-stream-3.8 c8-stream-3.9 c8s c8s-stream-2.7 c8s-stream-3.8 c8s-stream-3.9 c9 c9-beta c9-containeronly-stream-flatpak
  1.   b10dd149944a8a06552981edf9e80b275f6b46a9
  2.   SOURCES
  3.   CVE-2021-28957.patch
Blob History Raw
b10dd1 
diff --git a/src/lxml/html/defs.py b/src/lxml/html/defs.py
b10dd1 
index caf6b21..ea3c016 100644
b10dd1 
--- a/src/lxml/html/defs.py
b10dd1 
+++ b/src/lxml/html/defs.py
b10dd1 
@@ -21,6 +21,8 @@ link_attrs = frozenset([
b10dd1 
     'usemap',
b10dd1 
     # Not standard:
b10dd1 
     'dynsrc', 'lowsrc',
b10dd1 
+    # HTML5 formaction
b10dd1 
+    'formaction'
b10dd1 
     ])
b10dd1
b10dd1 
 # Not in the HTML 4 spec:
b10dd1 
diff --git a/src/lxml/html/tests/test_clean.py b/src/lxml/html/tests/test_clean.py
b10dd1 
index 451eec2..e40cdad 100644
b10dd1 
--- a/src/lxml/html/tests/test_clean.py
b10dd1 
+++ b/src/lxml/html/tests/test_clean.py
b10dd1 
@@ -89,6 +89,21 @@ class CleanerTest(unittest.TestCase):
b10dd1 
             b'<math><style>/* deleted */</style></math>',
b10dd1 
             lxml.html.tostring(clean_html(s)))
b10dd1
b10dd1 
+    def test_formaction_attribute_in_button_input(self):
b10dd1 
+        # The formaction attribute overrides the form's action and should be
b10dd1 
+        # treated as a malicious link attribute
b10dd1 
+        html = ('<form id="test"><input type="submit" formaction="javascript:alert(1)"></form>'
b10dd1 
+        '<button form="test" formaction="javascript:alert(1)">X</button>')
b10dd1 
+        expected = ('
<form id="test"><input type="submit" formaction=""></form>'
b10dd1 
+        '<button form="test" formaction="">X</button>')
b10dd1 
+        cleaner = Cleaner(
b10dd1 
+            forms=False,
b10dd1 
+            safe_attrs_only=False,
b10dd1 
+        )
b10dd1 
+        self.assertEqual(
b10dd1 
+            expected,
b10dd1 
+            cleaner.clean_html(html))
b10dd1 
+
b10dd1
b10dd1 
 def test_suite():
b10dd1 
     suite = unittest.TestSuite()

Powered by Pagure 5.14.1

SSH Hostkey/Fingerprint | Documentation