python-bleach是一個基于白名單、通過轉義或去除標簽和屬性的方式，國內服務器租用服務器托管，來對HTML文本凈化的python庫。

4月6日,Debian發(fā)布了安全更新,修復了HTML清理庫python bleach 中發(fā)現的跨站點腳本漏洞。以下是漏洞詳情：

漏洞詳情

來源：https://lists.debian.org/debian-lts-announce/2021/04/msg00006.html

CVE-2021-23980 嚴重程度: 重要

XSS攻擊通常指的是通過利用網頁開發(fā)時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網頁，使用戶加載并執(zhí)行攻擊者惡意制造的網頁程序。

在python bleach中發(fā)現存在跨站點腳本（XSS)漏洞。通過允許的數學或svg；p或br; 和樣式，標題，noscript,腳本，textarea，noframes，云服務器租用，iframe或帶有strip_comments = False的xmp標簽造成XSS攻擊。

受影響產品及版本

上述漏洞影響Debian9 Stretch python-bleach 2.0-1 + deb9u1之前版本

解決方案

對于Debian 9 Stretch，此問題已在版本python-bleach 2.0-1 + deb9u1中修復,建議及時更新python-bleach軟件包。