python · litestarCrítico
Litestar: CSRF cookie não escapado permite XSS em templates com CSRF
Instâncias do Litestar que usam templates com proteção CSRF são vulneráveis a injeção de HTML levando a XSS, pois o conteúdo do cookie CSRF não é escapado ao us
O que mudou
Instâncias do Litestar que usam templates com proteção CSRF são vulneráveis a injeção de HTML levando a XSS, pois o conteúdo do cookie CSRF não é escapado ao usar o padrão recomendado `{{ csrf_input | safe }}`.
Quem isso afeta
Aplicações que usam Litestar com um engine de templates (Jinja, Mako, MiniJinja), proteção CSRF habilitada e inputs CSRF ativados conforme documentação.
O que fazer hoje
Revise o código do template para uso de `{{ csrf_input | safe }}` e garanta o escape adequado; considere aplicar uma correção ou workaround do advisory.
A esteira
Coletado→
Auditado→
Redigido→
Publicado