1. CVE-Search
  2. CVE-2014-3146
ID CVE-2014-3146
Summary Incomplete blacklist vulnerability in the lxml.html.clean module in lxml before 3.3.5 allows remote attackers to conduct cross-site scripting (XSS) attacks via control characters in the link scheme to the clean_html function. Per: http://cwe.mitre.org/data/definitions/184.html "CWE-184: Incomplete Blacklist"
References
Vulnerable Configurations
  • cpe:2.3:a:lxml:lxml:0.5:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:0.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:0.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:0.6:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:0.6:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:0.7:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:0.7:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:0.8:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:0.8:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:0.9:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:0.9:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:0.9.1:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:0.9.1:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:0.9.2:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:0.9.2:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.0:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.1:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.2:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.3:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.3.4:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.3.4:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.3.5:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.3.5:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:1.3.6:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:1.3.6:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.0:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.0.5:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.0.5:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.0.6:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.0.6:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.0.7:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.0.7:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.0.8:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.0.8:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.0.9:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.0.9:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.0.10:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.0.10:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.0.11:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.0.11:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.1:alpha1:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.1:alpha1:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.1:beta1:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.1:beta1:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.1:beta2:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.1:beta2:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.1:beta3:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.1:beta3:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.1.3:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.1.4:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.1.4:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.2:-:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.2:-:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.2:alpha1:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.2:alpha1:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.2:beta1:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.2:beta1:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.2:beta2:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.2:beta2:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.2:beta3:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.2:beta3:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.2:beta4:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.2:beta4:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.2.2:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.2.2:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.2.3:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.2.3:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.2.4:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.2.4:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.2.5:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.2.5:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.2.6:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.2.6:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.2.7:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.2.7:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.2.8:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.2.8:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.3:-:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.3:-:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.3:alpha1:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.3:alpha1:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.3:alpha2:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.3:alpha2:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.3:beta1:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.3:beta1:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.3.4:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.3.4:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.3.5:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.3.5:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.3.6:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.3.6:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.0:-:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.0:-:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.0:alpha1:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.0:alpha1:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.0:alpha2:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.0:alpha2:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.1:beta1:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.1:beta1:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.2.2:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.2.2:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.2.3:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.2.3:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.2.4:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.2.4:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.2.5:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.2.5:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.3.0:-:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.3.0:-:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.3.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.3.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.3.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.3.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.3.0:beta3:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.3.0:beta3:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.3.0:beta4:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.3.0:beta4:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.3.0:beta5:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.3.0:beta5:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.1:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:2.1.5:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:2.1.5:*:*:*:*:*:*:*
  • cpe:2.3:a:lxml:lxml:3.3.4:*:*:*:*:*:*:*
    cpe:2.3:a:lxml:lxml:3.3.4:*:*:*:*:*:*:*
CVSS
Base: 4.3 (as of 29-12-2017 - 02:29)
Impact:
Exploitability:
CWE NVD-CWE-Other
CAPEC
Access
VectorComplexityAuthentication
NETWORK MEDIUM NONE
Impact
ConfidentialityIntegrityAvailability
NONE PARTIAL NONE
cvss-vector via4 AV:N/AC:M/Au:N/C:N/I:P/A:N
refmap via4
bid 67159
confirm
debian DSA-2941
fulldisc
  • 20140415 lxml (python lib) vulnerability
  • 20140430 Re: lxml (python lib) vulnerability
mandriva MDVSA-2015:112
mlist
  • [lxml] 20140415 lxml.html.clean vulnerability
  • [oss-security] 20140509 Re: CVE request: python-lxml clean_html() input sanitization flaw
secunia
  • 58013
  • 58744
  • 59008
suse openSUSE-SU-2014:0735
ubuntu USN-2217-1
Last major update 29-12-2017 - 02:29
Published 14-05-2014 - 19:55
Last modified 29-12-2017 - 02:29
Back to Top