CVE-2015-9251

跨站脚本
影响
jQuery
<1.12.2 >=1.12.3 <3.0.0
jQuery
未找到项目。
感叹号圆圈图标
补丁可用
HeroDevs 提供的 Never-Ending Support (NES) 版本已修复此漏洞。

复制步骤

谷歌安全团队报告了这个中级安全漏洞。如果内容类型为 text/javascript,该漏洞允许自动执行 $.get() 的第三方参数

在实际应用中,使用 $.get() 的应用程序如果查询不受信任/受攻击的网站,就会受到攻击。

解决问题

 成功利用此漏洞可让攻击者获取敏感信息、窃取 cookie 和/或执行 Javascript 或 HTML 代码。使用 3.0.0 之前版本 jQuery 的客户应立即升级到该版本(修复程序从未应用到 2.x 分支)。

学习与预防

跨站脚本 (XSS) 漏洞的一种表现形式是访问被攻击的网站。在这种情况下,使用$.get()命令访问的网站含有旨在访问数据或受保护子系统的代码。浏览器会在不知情的情况下执行恶意代码。

虽然使用 $.get() 时必须确保目标网站是一个已知的安全实体,但这并不总是可能的。因此,"转义 "从目标网站获取的内容是防范这种漏洞的惯用方法("转义 "是数据消毒的一种形式)。转义内容的过程会将代码转换为无法执行的内容,从而使有效载荷变得安全。

结论

作为HeroDevs jQuery NES服务的客户,可以获得最新版本的jQuery,并应用修复程序。客户可立即获得通知,并能轻松更新系统。今天就联系HeroDevs,获得jQuery的永无止境的支持

资源

‍NISTCVE-2015-9251条目

漏洞详情
身份证
CVE-2015-9251
受影响的项目
jQuery
受影响的版本
<1.12.2 >=1.12.3 <3.0.0
出版日期
2018 年 1 月 18 日
≈ 固定日期
2023 年 2 月 1 日
固定在
严重性
中型
类别
跨站脚本