ГлавнаяБаза уязвимостей БДУ → BDU:2019-04254
5.8средняя

BDU:2019-04254 (CVE-2019-11358)

Уязвимость функции jQuery.extend (true, {}, ...) библиотеки jQuery, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации
Опубликовано: 2019-11-25
Описание

Уязвимость функции jQuery.extend (true, {}, ...) библиотеки jQuery существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность и целостность защищаемой информации

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Retail Point-of-Service (14.0)Retail Point-of-Service (14.1)Business Process Management Suite (12.2.1.3.0)BI Publisher (12.2.1.3.0)Primavera Unifier (16.2)Primavera Unifier (16.1)jQuery (до 3.4.0)BI Publisher (12.2.1.4.0)Primavera Unifier (от 17.7 до 17.12)Primavera Unifier (18.8)Oracle Communications Session Route Manager (8.1.1)Oracle Communications Session Route Manager (8.2.0)Oracle Communications Session Route Manager (8.2.1)PeopleSoft Enterprise FIN Expenses (9.2)Business Process Management Suite (12.2.1.4.0)Insurance Accounting Analyzer (от 8.0.6 до 8.0.8 включительно)REST Data Services (11.2.0.4)REST Data Services (12.1.0.2)REST Data Services (12.2.0.1)REST Data Services (18c)REST Data Services (до 20.2.1 (Standalone))Insurance Insbridge Rating and Underwriting (от 5.0.0.0 до 5.6.0.0 включительно)Insurance Insbridge Rating and Underwriting (5.6.1.0)BI Publisher (5.5.0.0.0)REST Data Services (19c)ORDS (jQuery) (11.2.0.4)ORDS (jQuery) (12.1.0.2)ORDS (jQuery) (12.2.0.1)ORDS (jQuery) (18c)
Способ устранения

Обновление библиотеки jQuery доверсии 3.4.0 или новее

Использование рекомендаций производителя для программных средств Oracle:
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuapr2021.html

Для Moxa:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-244707-oncell-3120-lte-1-series-multiple-jquery-vulnerabilities

Для Astra Linux:
Обновление программного обеспечения (пакета jquery) до 1.7.2+dfsg-3.2+deb8u7 или более поздней версии

Для ОС ОН «Стрелец»:
Обновление программного обеспечения mediawiki до версии 1:1.27.7-1+deb9u11

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл5.8 — средняя опасность
Источники и патчи
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-11358https://github.com/jquery/jquery/commit/753d591aea698e57d6db58c9f722cd0808619b1bhttps://github.com/jquery/jquery/pull/4333https://www.oracle.com/security-alerts/cpujul2020.htmlhttps://www.oracle.com/security-alerts/cpuoct2020.htmlhttps://www.oracle.com/security-alerts/cpujan2021.htmlhttps://www.oracle.com/security-alerts/cpuapr2021.html
Проверьте безопасность своего сайта и почты → Полная проверка домена