CVE-2020-7656

跨站脚本
影响
jQuery
<1.9.0
jQuery
未找到项目。
感叹号圆圈图标
补丁可用
HeroDevs 提供的 Never-Ending Support (NES) 版本已修复此漏洞。

复制步骤

The jQuery $.load() command provides a simple way to load content from other servers and insert it into  the current web page. By design, as part of its sanitization process, it is supposed to remove “<script>” tags to ensure that malicious code cannot be inserted into the page and executed.

The vulnerability fails to recognize and remove  “<script>” tags that contain a whitespace character, which can result in Cross-site Scripting attacks by including malicious code in the included script.

解决问题

使用 1.9.1 之前版本 jQuery 的客户应立即升级至该版本,因为该版本已包含修复程序。另外,需要继续使用1.6版本的客户也可以利用HeroDevs的 "永无止境的支持"(Never Ending Support)功能,该功能提供的jQuery版本已对该CVE和其他CVE进行了修复。

学习与预防

通常,jQuery 采用多种方法对数据进行消毒。在这种情况下,实际的消毒方法存在漏洞。在这种情况下,最好的商业做法是随时了解安全更新,这样一旦漏洞被公开发布,您的服务器就能在最短的时间内免受攻击。

结论

HeroDevs jQuery永无止境的支持服务可以确保您的团队拥有最新的、安全的代码,从而使您的团队的生活变得更加轻松和便捷。现在就联系HeroDevs,注册我们的全面支持服务。

资源

NIST CVE-2020-7656条目

漏洞详情
身份证
CVE-2020-7656
受影响的项目
jQuery
受影响的版本
<1.9.0
出版日期
2020 年 5 月 19 日
≈ 固定日期
2023 年 2 月 1 日
固定在
严重性
中型
类别
跨站脚本