<div dir="ltr"><div class="gmail_default" style="font-size:small">Hey Victor,</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I'm sending this reply to pydotorg-www@, since it is they who handle updating the web site.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">webmaster@ is a common destination for such queries, but all we can do is what I've just done in most cases.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Kind regards,</div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Steve Holden<br></div></div></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jan 10, 2020 at 5:03 PM Victor Stinner <<a href="mailto:vstinner@python.org">vstinner@python.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi <a href="http://python.org" rel="noreferrer" target="_blank">python.org</a> webmasters,<br>
<br>
Would you mind mind to have a look? :-)<br>
<br>
Victor<br>
<br>
---------- Forwarded message ---------<br>
De : Nikhil1R via PSRT <<a href="mailto:psrt@python.org" target="_blank">psrt@python.org</a>><br>
Date: ven. 10 janv. 2020 à 10:18<br>
Subject: [PSRT] XSS DOM on <a href="http://python.org" rel="noreferrer" target="_blank">python.org</a><br>
To: <a href="mailto:security@python.org" target="_blank">security@python.org</a> <<a href="mailto:security@python.org" target="_blank">security@python.org</a>><br>
<br>
<br>
[*] Summary:<br>
XSS DOM on <a href="https://www.python.org/" rel="noreferrer" target="_blank">https://www.python.org/</a><br>
<br>
[*] Steps To Reproduce:<br>
<br>
1.  Open https[://]spotify[.]com/us/<br>
2.  In going to the "Web Developer's" options and going to selecting<br>
"Inspector" option.<br>
3.  In inspector options Select the <img class="python-logo"<br>
src="/static/img/python-logo.png" alt="python™"><br>
4.  Select it as Edit as HTML from right clicking.<br>
5.  Replace the value in quotes "/static/img/python-logo.png" with the<br>
string "><svg onload=alert(1)> .<br>
6.  After that click outside the editing HTML box.<br>
7.  Hence, you will get the alert of XSS(DOM BASED ) being executed.<br>
<br>
[*] Impact:<br>
          Source is controlled by user so they can execute the XSS for<br>
dangerous sink.<br>
<br>
[*] Supporting Material/References:<br>
<br>
         1. Screenshots attached is .png.<br>
         2. Browser: Latest Firefox 71.0(64 bit) for Linux & latest<br>
Firefox for windows.<br>
         3. OS: Linux,Windows.<br>
<br>
[]Note: I'm only attaching the Screenshot for Linux but this i had<br>
also tested on Windows 10.[]<br>
-----------------------------<br>
Python Security Response Team<br>
Unsubscribe: <a href="https://mail.python.org/mailman/options/psrt/vstinner%40python.org" rel="noreferrer" target="_blank">https://mail.python.org/mailman/options/psrt/vstinner%40python.org</a><br>
<br>
<br>
-- <br>
Night gathers, and now my watch begins. It shall not end until my death.<br>
_______________________________________________<br>
Webmaster mailing list<br>
<a href="mailto:Webmaster@python.org" target="_blank">Webmaster@python.org</a><br>
<a href="https://mail.python.org/mailman/listinfo/webmaster" rel="noreferrer" target="_blank">https://mail.python.org/mailman/listinfo/webmaster</a><br>
</blockquote></div>