VYPR
Medium severity6.1NVD Advisory· Published May 14, 2014· Updated Jun 17, 2026

CVE-2014-3146

CVE-2014-3146

Description

Incomplete blacklist vulnerability in the lxml.html.clean module in lxml before 3.3.5 allows remote attackers to conduct cross-site scripting (XSS) attacks via control characters in the link scheme to the clean_html function.

AI Insight

LLM-synthesized narrative grounded in this CVE's description and references.

Affected packages

Versions sourced from the GitHub Security Advisory.

PackageAffected versionsPatched versions
lxmlPyPI
< 3.3.53.3.5

Affected products

96
  • Lxml/Lxml95 versions
    cpe:2.3:a:lxml:lxml:*:*:*:*:*:*:*:*+ 94 more
    • cpe:2.3:a:lxml:lxml:*:*:*:*:*:*:*:*range: <=3.3.4
    • cpe:2.3:a:lxml:lxml:0.5:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:0.5.1:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:0.6:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:0.7:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:0.8:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:0.9:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:0.9.1:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:0.9.2:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.0:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.0.1:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.0.2:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.0.3:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.0.4:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.1:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.1.1:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.1.2:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.2:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.2.1:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.3:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.3.1:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.3.2:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.3.3:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.3.4:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.3.5:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:1.3.6:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.0:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.0.1:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.0.10:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.0.11:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.0.2:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.0.3:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.0.4:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.0.5:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.0.6:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.0.7:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.0.8:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.0.9:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.1.1:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.1.2:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.1.3:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.1.4:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.1:alpha1:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.1:beta1:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.1:beta2:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.1:beta3:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.2:-:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.2.1:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.2.2:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.2.3:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.2.4:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.2.5:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.2.6:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.2.7:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.2.8:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.2:alpha1:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.2:beta1:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.2:beta2:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.2:beta3:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.2:beta4:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.3:-:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.3.1:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.3.2:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.3.3:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.3.4:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.3.5:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.3.6:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.3:alpha1:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.3:alpha2:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:2.3:beta1:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.0:-:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.0.1:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.0.2:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.0:alpha1:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.0:alpha2:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.0:beta1:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.1.0:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.1.1:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.1.2:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.1:beta1:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.2.0:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.2.1:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.2.2:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.2.3:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.2.4:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.2.5:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.3.0:-:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.3.0:beta1:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.3.0:beta2:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.3.0:beta3:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.3.0:beta4:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.3.0:beta5:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.3.1:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.3.2:*:*:*:*:*:*:*
    • cpe:2.3:a:lxml:lxml:3.3.3:*:*:*:*:*:*:*
  • ghsa-coords
    Range: < 3.3.5

Patches

Vulnerability mechanics

References

27

News mentions

0

No linked articles in our index yet.