Vulnerabilidad en OWASP AntiSamy .NET (CVE-2023-51652)

OWASP AntiSamy .NET es una librería para realizar la limpieza de HTML proveniente de fuentes no confiables. Antes de la versión 1.2.0, existía la posibilidad de que se produjera una vulnerabilidad de mutación de cross site scripting (mXSS) en AntiSamy causada por un análisis defectuoso del HTML que se estaba sanitizando. Para estar sujeto a esta vulnerabilidad, la directiva `preserveComments` debe estar habilitada en su archivo de política y también permitir ciertas etiquetas al mismo tiempo. Como resultado, ciertas entradas astutas pueden dar lugar a que los elementos de las etiquetas de comentarios se interpreten como ejecutables cuando se utiliza la salida sanitizada de AntiSamy. Esto está parcheado en OWASP AntiSamy .NET 1.2.0 y posteriores. Consulte detalles importantes de remediación en la referencia que se proporciona a continuación. Como workaround, edite manualmente el archivo de política AntiSamy (por ejemplo, antisamy.xml) eliminando la directiva `preserveComments` o estableciendo su valor en `false`, si está presente. También sería útil hacer que AntiSamy elimine la etiqueta `noscript` agregando una línea descrita en GitHub Security Advisory a las definiciones de etiquetas en el nodo ``, o eliminándola por completo si está presente. Como las configuraciones de políticas mencionadas anteriormente son condiciones previas para que funcione el ataque mXSS, cambiarlas según lo recomendado debería ser suficiente para protegerlo contra esta vulnerabilidad cuando utilice una versión vulnerable de esta librería. Sin embargo, el error existente aún estaría presente en AntiSamy o su dependencia del analizador (HtmlAgilityPack). La seguridad de esta solución depende de configuraciones que pueden cambiar en el futuro y no abordan la causa raíz de la vulnerabilidad. Como tal, se recomienda encarecidamente actualizar a una versión fija de AntiSamy.