再現の手順
The jQuery $.load() command provides a simple way to load content from other servers and insert it into the current web page. By design, as part of its sanitization process, it is supposed to remove “<script>” tags to ensure that malicious code cannot be inserted into the page and executed.
The vulnerability fails to recognize and remove “<script>” tags that contain a whitespace character, which can result in Cross-site Scripting attacks by including malicious code in the included script.
問題への対処
1.9.1より前のjQueryを使用しているクライアントは、修正を含むこのバージョンに直ちにアップグレードしてください。また、1.6を使い続ける必要があるクライアントは、HeroDevsのNever Ending Supportを利用して、このCVEやその他のCVEを修正したバージョンのjQueryを提供することもできます。
学習と予防
通常、jQueryはデータをサニタイズするために複数の方法を採用している。今回のケースでは、実際のサニタイズ方法に脆弱性がありました。このような場合、最善のビジネスプラクティスは、セキュリティアップデートを常に把握することであり、悪用が公開された後、サーバーが最小限の時間で脆弱な状態になるようにすることです。
結論
HeroDevsのjQueryネバーエンディングサポートは、すべての重要な依存関係のための最新で安全なコードを確保することにより、チームの生活をより簡単かつ便利にします。HeroDevsの包括的なサポートサービスに申し込むには、今すぐお問い合わせください。
リソース
弊社がサポートするオープンソースソフトウェアに新たな脆弱性が修正された場合、いつでもアラートを受け取ることができます。