python · dosageAtenção
dosage: Stored XSS em saída HTML e RSS
Os manipuladores de saída HTML e RSS em dosagelib/events.
O que mudou
Os manipuladores de saída HTML e RSS em dosagelib/events.py escrevem conteúdo controlado pelo usuário (texto de quadrinhos e URLs de páginas) diretamente nos arquivos gerados sem escapamento HTML adequado, levando a XSS armazenado.
Quem isso afeta
Usuários que usam dosage com as opções --output html ou --output rss e abrem os arquivos gerados em um navegador.
O que fazer hoje
Aplique a correção recomendada escapando todo o conteúdo controlado pelo usuário com html.escape() antes de escrever na saída HTML/RSS.
A esteira
Coletado→
Auditado→
Redigido→
Publicado