ГлавнаяБаза уязвимостей БДУ → BDU:2023-07702
6.4средняя

BDU:2023-07702

Уязвимость библиотеки jQuery, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить межсайтовй скриптинг
Опубликовано: 2023-11-13
Описание

Уязвимость библиотеки jQuery связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить межсайтовый скриптинг с помощью междоменных ajax-запросов

Затрагиваемое ПО и версии
OpenSUSE Leap (15.1)jQuery (до 1.9.0)RetireJSRuby (2.5)Linksys EA7500 (2.0.8.194281)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций:
Для jQuery:
https://snyk.io/vuln/npm:jquery:20120206
https://bugs.jquery.com/ticket/11290

Для openSUSE Leap:
https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/ZJAMCVFC2KL342QI4W5HGYIZXTNBURQT/

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00041.htmlhttp://packetstormsecurity.com/files/153237/RetireJS-CORS-Issue-Script-Execution.htmlhttp://packetstormsecurity.com/files/161972/Linksys-EA7500-2.0.8.194281-Cross-Site-Scripting.htmlhttp://www.securityfocus.com/bid/102792https://bugs.jquery.com/ticket/11290https://github.com/jquery/jquery/commit/05531fc4080ae24070930d15ae0cea7ae056457dhttps://help.ecostruxureit.com/display/public/UADCE725/Security+fixes+in+StruxureWare+Data+Center+Expert+v7.6.0https://lists.apache.org/thread.html/519eb0fd45642dcecd9ff74cb3e71c20a4753f7d82e2f07864b5108f%40%3Cdev.drill.apache.org%3E
Проверьте безопасность своего сайта и почты → Полная проверка домена