ГлавнаяБаза уязвимостей БДУ → BDU:2020-04949
5.8средняя

BDU:2020-04949 (CVE-2020-11023)

Уязвимость библиотеки jQuery, существующая из-за недостаточной очистки предоставленных пользователем данных при передаче элементов <option>, позволяющая нарушителю осуществлять межсайтовые сценарные атаки
Опубликовано: 2020-11-02
Описание

Уязвимость библиотеки jQuery существует из-за недостаточной очистки предоставленных пользователем данных при передаче элементов <option> в методы DOM jQuery. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять межсайтовые сценарные атаки

Затрагиваемое ПО и версии
Database (11.2.0.4)Database (12.1.0.1)Database (12.1.0.2)Red Hat Enterprise Linux (7)Debian GNU/Linux (9)WebLogic Server (12.1.3.0.0)Database (18c)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Virtualization (4)WebLogic Server (12.2.1.3.0)WebCenter Sites (12.2.1.3.0)Astra Linux Common Edition (2.12 «Орёл»)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Database (19c)Debian GNU/Linux (8)OpenShift Container Platform (3.11)Jboss Fuse (7)Application Testing Suite (13.3.0.1)Debian GNU/Linux (10)Fedora (31)Red Hat Ceph Storage (3)Red Hat Software CollectionsRed Hat Single Sign-On (7)WebLogic Server (12.2.1.4.0)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)PeopleSoft Enterprise HCM Human Resources (9.2)Oracle Hospitality Materials Control (18.1)Oracle Healthcare Translational Research (3.2.1)Oracle Healthcare Translational Research (3.3.1)
Способ устранения

Использование рекомендаций:
Для jQuery:
https://blog.jquery.com/2020/04/10/jquery-3-5-0-released/
https://jquery.com/upgrade-guide/3.5/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AVKYXLWCLZBV2N7M46KYK4LVA5OXWPBY/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QPN2L2XVQGUA2V5HNQJWHK3APSK3VN7K/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SAPQVX3XDNPGFT26QAQ6AJIXZZBZ4CD4/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SFP4UK4EGP4AFH2MWYJ5A5Z4I7XVFQ6B/

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00067.html
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00085.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-11023

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-11023

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Для Moxa:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-244707-oncell-3120-lte-1-series-multiple-jquery-vulnerabilities

Для Astra Linux:
Использование рекомендаций производителя
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:
Обновление программного обеспечения jquery до версии 3.3.1~dfsg-3+deb10u1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jquery до версии 3.1.1-2+deb9u2

Для ОС РОСА &quot;КОБАЛЬТ&quot;: https://abf.rosa.ru/advisories/ROSA-SA-2025-2760

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:1346?lang=ru

Оценка CVSS
Балл5.8 — средняя опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00067.htmlhttp://lists.opensuse.org/opensuse-security-announce/2020-07/msg00085.htmlhttp://packetstormsecurity.com/files/162160/jQuery-1.0.3-Cross-Site-Scripting.htmlhttps://access.redhat.com/security/cve/cve-2020-11023https://blog.jquery.com/2020/04/10/jquery-3-5-0-releasedhttps://blog.jquery.com/2020/04/10/jquery-3-5-0-released/https://jquery.com/upgrade-guide/3.5/https://lists.apache.org/thread.html/r9006ad2abf81d02a0ef2126bab5177987e59095b7194a487c4ea247c@%3Ccommits.felix.apache.org%3E
Проверьте безопасность своего сайта и почты → Полная проверка домена