شبکه اجتماعی آزمایشگاه امنیت وایت لب
برچسبها:
◽️ اخیرا محقق Masato Kinugawa جزییاتی از دو آسیبپذیری xss روی کتابخانه jQuery منتشر کرده که میتواند در اجرای این حملات مورد استفاده قرار گیرد.
آسیبپذیری اول با شناسه CVE-2020-11022 در صورت فراخوانی متدهای دستکاری DOM مانند append. و html. با ورودی کدها از منابع ناامن میتواند منجر به اجرای کد javascript شود، این عمل حتی با ورودیهای از قبل پالایش شده نیز امکان پذیر است.
ریشه این آسیبپذیری متد htmlPrefilter بوده که جهت تصحیح بسته شدن تگها استفاده میشود.
آسیبپذیری دوم با شناسه CVE-2020-11023 نیز مانند مورد قبل و در صورت وجود تگ option در کد رخ میدهد.
دموی این آسیبپذیریها در این لینک قابل مشاهده و تست است.
❇️ این آسیبپذیریها در نسخه 3.5.0 مرتفع شده و نسخههای قبل از آن را تحت تاثیر قرار میدهد.
❇️همواره از بهروز بودن کتابخانههای مورد استفاده اطمینان حاصل کنید
