CVE-2024-52595

lxml_html_clean es un proyecto para funciones de limpieza de HTML copiadas de `lxml.html.clean`. Antes de la versión 0.4.0, el analizador HTML en lxml no manejaba correctamente el cambio de contexto para etiquetas HTML especiales como ``, `` y ``. Este comportamiento se desvía de la forma en que los navegadores web analizan e interpretan dichas etiquetas. Específicamente, lxml_html_clean ignora el contenido en los comentarios CSS pero puede ser interpretado de manera diferente por los navegadores web, lo que permite que los scripts maliciosos pasen por alto el proceso de limpieza. Esta vulnerabilidad podría conducir a ataques de Cross-Site Scripting (XSS), lo que compromete la seguridad de los usuarios que confían en lxml_html_clean en la configuración predeterminada para desinfectar contenido HTML no confiable. Los usuarios que emplean el limpiador HTML en un contexto sensible a la seguridad deben actualizar a lxml 0.4.0, que soluciona este problema. Como mitigación temporal, los usuarios pueden configurar lxml_html_clean con los siguientes ajustes para evitar la explotación de esta vulnerabilidad. Mediante `remove_tags`, se pueden especificar las etiquetas que se eliminarán; su contenido se moverá a las etiquetas de sus padres. Mediante `kill_tags`, se pueden especificar las etiquetas que se eliminarán por completo. Mediante `allow_tags`, se puede restringir el conjunto de etiquetas permitidas, excluyendo las etiquetas que cambian de contexto como ``, `` y ``.