补丁现在可用,但是疏远的虫子说会影响其他软件包
更新一个最近发现的跨站脚本((XSS根据发现缺陷的安全研究人员的说法,JQuery JavaScript库中的漏洞也会影响其他软件包。
这开源jQuery软件在其jQuery.htmlprefilter确保将关闭标签传递到方法时符合XHTML的方法。
日本安全研究员Masato Kinugawa表明,这种实施是有缺陷的,因为正则是Regex可能引入XSS脆弱性。
JQuery背后的开发人员描述了中等严重性脆弱性(CVE-2020-11022)仅在“解析会带来意想不到的后果的边缘案例”中发挥作用。
尽管淡化了该错误的严重性,但他们同意需要更新。
此问题在4月10日发布的JQuery 3.5.0中进行了修补,并与次要功能改进和错误修复一起提供。
推荐的盲目注射:理论利用提供了强迫网络应用程序泄漏秘密的新方法beplay体育能用吗
各种解决方法,对于那些无法立即更新受影响的软件包的人,如在咨询来自JQuery的开发商。
XSS脆弱性在上个月解决的意味着“即使在对其进行了不受信任的来源(即使对其进行消毒之后),将HTML传递给JQuery的一种DOM操纵方法(例如.html(),,,,。附加(),以及其他)可以执行不受信任的代码。”写上去在github上。
Kinugawa有推文关于挑战,围绕概念证明利用了jQuery脆弱性。
回答来自每日swbeplay2018官网igKinugawa说,这种剥削向量会影响各种(尚未命名)软件包,这是正在进行的披露和补救工作的主题。
“我在真实应用中找到了XSS,” Kinugawa说。“他们有漏洞赏金,但可悲的是,由于尚未解决,我无法分享细节。”
5月17日,Kinugawa发表了进一步的技术细节。
