ГлавнаяБаза уязвимостей БДУ → BDU:2023-07675
6.4средняя

BDU:2023-07675

Уязвимость библиотеки jQuery, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить межсайтовй скриптинг
Опубликовано: 2023-11-11
Описание

Уязвимость библиотеки jQuery связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить межсайтовый скриптинг с помощью междоменных ajax-запросов

Затрагиваемое ПО и версии
Enterprise Manager Ops Center (12.2.2)Enterprise Manager Ops Center (12.3.3)Fusion Middleware MapViewer (12.2.1.3.0)Business Process Management Suite (11.1.1.9.0)Business Process Management Suite (12.1.3.0.0)Business Process Management Suite (12.2.1.3.0)JD Edwards EnterpriseOne Tools (9.2)Primavera Unifier (16.2)Primavera Unifier (16.1)Primavera Unifier (от 17.1 до 17.12 включительно)Hospitality Reporting and Analytics (9.1)WebCenter Sites (11.1.1.8.0)WebCenter Sites (12.2.1.3.0)Oracle JDeveloper (12.1.3.0.0)Oracle JDeveloper (12.2.1.3.0)Communications Converged Application Server (до 7.0.0.1)Communications WebRTC Session Controller (до 7.2)OpenSUSE Leap (15.1)Oracle Hospitality Guest Access (4.2.0)Oracle Hospitality Guest Access (4.2.1)Primavera Unifier (18.8)Primavera Gateway (15.2)Primavera Gateway (16.2)Primavera Gateway (17.12)Oracle Hospitality Materials Control (18.1)Oracle Service Bus (12.1.3.0.0)Oracle Service Bus (12.2.1.3.0)Oracle Healthcare Translational Research (3.1.0)Oracle Retail Customer Insights (15.0)Oracle Retail Customer Insights (16.0)
Способ устранения

Использование рекомендаций:

Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20210108-0004/

Для jQuery;
https://snyk.io/vuln/npm:jquery:20150627

Для InTouch Access Anywhere:
https://ics-cert.us-cert.gov/advisories/ICSA-18-212-04

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2020:0481
https://access.redhat.com/errata/RHSA-2020:0729

Для dotCMS:
https://packetstormsecurity.com/files/152787/dotCMS-5.1.1-Vulnerable-Dependencies.html

Для RetireJS:
https://packetstormsecurity.com/files/153237/RetireJS-CORS-Issue-Script-Execution.html

Для OctoberCMS:
https://packetstormsecurity.com/files/156743/OctoberCMS-Insecure-Dependencies.html

Для openSUSE Leap и Ruby:
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/ZJAMCVFC2KL342QI4W5HGYIZXTNBURQT/

Для программных продуктов Oracle Corp.:
http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00041.htmlhttp://packetstormsecurity.com/files/152787/dotCMS-5.1.1-Vulnerable-Dependencies.htmlhttp://packetstormsecurity.com/files/153237/RetireJS-CORS-Issue-Script-Execution.htmlhttp://packetstormsecurity.com/files/156743/OctoberCMS-Insecure-Dependencies.htmlhttp://seclists.org/fulldisclosure/2019/May/10http://seclists.org/fulldisclosure/2019/May/11http://seclists.org/fulldisclosure/2019/May/13http://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
Проверьте безопасность своего сайта и почты → Полная проверка домена