Vulnerabilidad en HTML Sanitizer (CVE-2022-23499)

HTML Sanitizer está escrito en PHP y tiene como objetivo proporcionar un marcado seguro para XSS basado en etiquetas, atributos y valores explícitamente permitidos. En versiones anteriores a 1.5.0 o 2.1.1, el marcado malicioso utilizado en una secuencia con secciones CDATA HTML especiales no se puede filtrar ni sanitizar debido a un problema de análisis en el paquete masterminds/html5. Esto permite evitar el mecanismo de Cross-Site Scripting de typo3/html-sanitizer. El paquete original masterminds/html5 proporciona elementos de texto HTML sin formato (`script`, `style`, `noframes`, `noembed` y `iframe`) como nodos DOMText, que no fueron procesados ni sanitizados más. Ninguno de los elementos mencionados se definió en la configuración predeterminada del generador, es por eso que solo los comportamientos personalizados, que usaban uno de esos nombres de etiquetas, eran vulnerables a las Cross-Site Scripting. Este problema se solucionó en las versiones 1.5.0 y 2.1.1.