NLTK (Natural Language Toolkit) — это набор модулей Python с открытым исходным кодом, наборов данных и учебных пособий, поддерживающих исследования и разработки в области обработки естественного языка. В версиях 3.9.3 и более ранних версиях `nltk.app.wordnet_app` содержит отраженную проблему межсайтового скриптинга в маршруте `lookup_...`. Созданный URL-адрес `lookup_<payload>` может внедрить произвольный HTML/JavaScript на страницу ответа, поскольку контролируемые злоумышленником данные `word` отражаются в HTML без экранирования.
Это влияет на пользователей, использующих локальный сервер браузера WordNet, и может привести к выполнению сценария в источнике браузера этого приложения. Коммит 1c3f799607eeb088cab2491dcf806ae83c29ad8f устраняет проблему.
Показать оригинальное описание (EN)
NLTK (Natural Language Toolkit) is a suite of open source Python modules, data sets, and tutorials supporting research and development in Natural Language Processing. In versions 3.9.3 and prior, `nltk.app.wordnet_app` contains a reflected cross-site scripting issue in the `lookup_...` route. A crafted `lookup_<payload>` URL can inject arbitrary HTML/JavaScript into the response page because attacker-controlled `word` data is reflected into HTML without escaping. This impacts users running the local WordNet Browser server and can lead to script execution in the browser origin of that application. Commit 1c3f799607eeb088cab2491dcf806ae83c29ad8f fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Nltk Nltk
cpe:2.3:a:nltk:nltk:*:*:*:*:*:*:*:*
|
— |
<= 3.9.3
|