
<p>Bumps <a href="https://github.com/rgrove/sanitize">sanitize</a> from 5.2.0 to 5.2.1.</p>


<details>


<summary>Release notes</summary>


<p><em>Sourced from <a href="https://github.com/rgrove/sanitize/releases">sanitize's releases</a>.</em></p>


<blockquote>


<h2>v5.2.1</h2>


<h3>Bug Fixes</h3>


<ul>


<li>


<p>Fixed an HTML sanitization bypass that could allow XSS. This issue affects Sanitize versions 3.0.0 through 5.2.0.</p>


<p>When HTML was sanitized using the "relaxed" config or a custom config that allows certain elements, some content in a <code><math></code> or <code><svg></code> element may not have beeen sanitized correctly even if <code>math</code> and <code>svg</code> were not in the allowlist. This could allow carefully crafted input to sneak arbitrary HTML through Sanitize, potentially enabling an XSS (cross-site scripting) attack.</p>


<p>You are likely to be vulnerable to this issue if you use Sanitize's relaxed config or a custom config that allows one or more of the following HTML elements:</p>


<ul>


<li><code>iframe</code></li>


<li><code>math</code></li>


<li><code>noembed</code></li>


<li><code>noframes</code></li>


<li><code>noscript</code></li>


<li><code>plaintext</code></li>


<li><code>script</code></li>


<li><code>style</code></li>


<li><code>svg</code></li>


<li><code>xmp</code></li>


</ul>


<p>See the security advisory for more details, including a workaround if you're not able to upgrade: <a href="https://github.com/rgrove/sanitize/security/advisories/GHSA-p4x4-rw2p-8j8m">GHSA-p4x4-rw2p-8j8m</a></p>


<p>Many thanks to Michał Bentkowski of Securitum for reporting this issue and helping to verify the fix.</p>


</li>


</ul>


</blockquote>


</details>


<details>


<summary>Changelog</summary>


<p><em>Sourced from <a href="https://github.com/rgrove/sanitize/blob/master/HISTORY.md">sanitize's changelog</a>.</em></p>


<blockquote>


<h2>5.2.1 (2020-06-16)</h2>


<h3>Bug Fixes</h3>


<ul>


<li>


<p>Fixed an HTML sanitization bypass that could allow XSS. This issue affects


Sanitize versions 3.0.0 through 5.2.0.</p>


<p>When HTML was sanitized using the "relaxed" config or a custom config that


allows certain elements, some content in a <code><math></code> or <code><svg></code> element may not


have beeen sanitized correctly even if <code>math</code> and <code>svg</code> were not in the


allowlist. This could allow carefully crafted input to sneak arbitrary HTML


through Sanitize, potentially enabling an XSS (cross-site scripting) attack.</p>


<p>You are likely to be vulnerable to this issue if you use Sanitize's relaxed


config or a custom config that allows one or more of the following HTML


elements:</p>


<ul>


<li><code>iframe</code></li>


<li><code>math</code></li>


<li><code>noembed</code></li>


<li><code>noframes</code></li>


<li><code>noscript</code></li>


<li><code>plaintext</code></li>


<li><code>script</code></li>


<li><code>style</code></li>


<li><code>svg</code></li>


<li><code>xmp</code></li>


</ul>


<p>See the security advisory for more details, including a workaround if you're


not able to upgrade: <a href="https://github.com/rgrove/sanitize/security/advisories/GHSA-p4x4-rw2p-8j8m">GHSA-p4x4-rw2p-8j8m</a></p>


<p>Many thanks to Michał Bentkowski of Securitum for reporting this issue and


helping to verify the fix.</p>


</li>


</ul>


</blockquote>


</details>


<details>


<summary>Commits</summary>


<ul>


<li><a href="https://github.com/rgrove/sanitize/commit/773d1af976b0e67a966bd3676ebab4f037395699"><code>773d1af</code></a> Release 5.2.1</li>


<li><a href="https://github.com/rgrove/sanitize/commit/a11498de9e283cd457b35ee252983662f7452aa9"><code>a11498d</code></a> Fix sanitization bypass in HTML foreign content</li>


<li><a href="https://github.com/rgrove/sanitize/commit/1d0d688120fb8309b31859319143ef16f92755eb"><code>1d0d688</code></a> Update the "Supported Versions" policy to be more realistic</li>


<li>See full diff in <a href="https://github.com/rgrove/sanitize/compare/v5.2.0...v5.2.1">compare view</a></li>


</ul>


</details>


<br>


<p><a href="https://help.github.com/articles/configuring-automated-security-fixes"><img src="https://camo.githubusercontent.com/509c293e53394bcf93ee702e307ecc67f9bf4ef5/68747470733a2f2f646570656e6461626f742d6261646765732e6769746875626170702e636f6d2f6261646765732f636f6d7061746962696c6974795f73636f72653f646570656e64656e63792d6e616d653d73616e6974697a65267061636b6167652d6d616e616765723d62756e646c65722670726576696f75732d76657273696f6e3d352e322e30266e65772d76657273696f6e3d352e322e31" alt="Dependabot compatibility score" data-canonical-src="https://dependabot-badges.githubapp.com/badges/compatibility_score?dependency-name=sanitize&package-manager=bundler&previous-version=5.2.0&new-version=5.2.1" style="max-width:100%;"></a></p>


<p>Dependabot will resolve any conflicts with this PR as long as you don't alter it yourself. You can also trigger a rebase manually by commenting <code>@dependabot rebase</code>.</p>


<hr>


<details>


<summary>Dependabot commands and options</summary>


<br>


<p>You can trigger Dependabot actions by commenting on this PR:</p>


<ul>


<li><code>@dependabot rebase</code> will rebase this PR</li>


<li><code>@dependabot recreate</code> will recreate this PR, overwriting any edits that have been made to it</li>


<li><code>@dependabot merge</code> will merge this PR after your CI passes on it</li>


<li><code>@dependabot squash and merge</code> will squash and merge this PR after your CI passes on it</li>


<li><code>@dependabot cancel merge</code> will cancel a previously requested merge and block automerging</li>


<li><code>@dependabot reopen</code> will reopen this PR if it is closed</li>


<li><code>@dependabot close</code> will close this PR and stop Dependabot recreating it. You can achieve the same result by closing it manually</li>


<li><code>@dependabot ignore this major version</code> will close this PR and stop Dependabot creating any more for this major version (unless you reopen the PR or upgrade to it yourself)</li>


<li><code>@dependabot ignore this minor version</code> will close this PR and stop Dependabot creating any more for this minor version (unless you reopen the PR or upgrade to it yourself)</li>


<li><code>@dependabot ignore this dependency</code> will close this PR and stop Dependabot creating any more for this dependency (unless you reopen the PR or upgrade to it yourself)</li>


<li><code>@dependabot use these labels</code> will set the current labels as the default for future PRs for this repo and language</li>


<li><code>@dependabot use these reviewers</code> will set the current reviewers as the default for future PRs for this repo and language</li>


<li><code>@dependabot use these assignees</code> will set the current assignees as the default for future PRs for this repo and language</li>


<li><code>@dependabot use this milestone</code> will set the current milestone as the default for future PRs for this repo and language</li>


</ul>


<p>You can disable automated security fix PRs for this repo from the <a href="https://github.com/openstreetmap/openstreetmap-website/network/alerts">Security Alerts page</a>.</p>


</details>


<hr>


<h4>You can view, comment on, or merge this pull request online at:</h4>


<p>  <a href='https://github.com/openstreetmap/openstreetmap-website/pull/2659'>https://github.com/openstreetmap/openstreetmap-website/pull/2659</a></p>


<h4>Commit Summary</h4>


<ul>


  <li>Bump sanitize from 5.2.0 to 5.2.1</li>


</ul>


<h4>File Changes</h4>


<ul>


  <li>


    <strong>M</strong>


    <a href="https://github.com/openstreetmap/openstreetmap-website/pull/2659/files#diff-e79a60dc6b85309ae70a6ea8261eaf95">Gemfile.lock</a>


    (2)


  </li>


</ul>


<h4>Patch Links:</h4>


<ul>


  <li><a href='https://github.com/openstreetmap/openstreetmap-website/pull/2659.patch'>https://github.com/openstreetmap/openstreetmap-website/pull/2659.patch</a></li>


  <li><a href='https://github.com/openstreetmap/openstreetmap-website/pull/2659.diff'>https://github.com/openstreetmap/openstreetmap-website/pull/2659.diff</a></li>


</ul>


<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/pull/2659">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/AAK2OLKX4XJJ2YC46P62FS3RW7UWBANCNFSM4OAAZVWQ">unsubscribe</a>.<img src="https://github.com/notifications/beacon/AAK2OLJRBNFB5CIXHQ3AQ7LRW7UWBA5CNFSM4OAAZVW2YY3PNVWWK3TUL52HS4DFUVEXG43VMWVGG33NNVSW45C7NFSM4JRFWBBA.gif" height="1" width="1" alt="" /></p>


<script type="application/ld+json">[


{


"@context": "http://schema.org",


"@type": "EmailMessage",


"potentialAction": {


"@type": "ViewAction",


"target": "https://github.com/openstreetmap/openstreetmap-website/pull/2659",


"url": "https://github.com/openstreetmap/openstreetmap-website/pull/2659",


"name": "View Pull Request"


},


"description": "View this Pull Request on GitHub",


"publisher": {


"@type": "Organization",


"name": "GitHub",


"url": "https://github.com"


}


}


]</script>