CISA Adiciona Falha de Cinco Anos do jQuery XSS à Lista de Vulnerabilidades Exploradas

Os EUA. Agência de Segurança Cibernética e Infraestrutura (CISA) colocado uma falha de segurança agora corrigida que afeta a popular biblioteca JavaScript do jQuery às suas Vulnerabilidades Exploradas Conhecidas (KEVcatálogo, com base em evidências de exploração ativa.

A vulnerabilidade de gravidade média é CVE-2020-11023 (CVSS score: 6.1/6.9), um bug de script cross-site (XSS) de quase cinco anos que poderia ser explorado para alcançar a execução arbitrária de código.

“Passar HTML contendo elementos <option> de fontes não confiáveis – mesmo depois de higienizá-los – para um dos métodos de manipulação DOM do jQuery (ou seja, .html(), .append() e outros) pode executar código não confiável”, de acordo com um Consultoria do github liberado para a falha.

O problema era endereçado em jQuery versão 3.5.0 lançado em abril de 2020. Uma solução alternativa para o CVE-2020-11023 envolve o uso de DOMPurificar com o SAFE_FOR_JQUERY bandeira defina para higienizar a string HTML antes de passá-la para um método jQuery.

Como é normalmente o caso, o conselho da CISA é baseado em detalhes sobre a natureza específica da exploração e a identidade dos atores de ameaças que armam a falha. Também não há relatórios públicos relacionados a ataques que aproveitem a falha em questão.

Dito isto, a empresa de segurança holandesa EclecticIQ revelado em fevereiro de 2024 que o comando e controle (C2) endereços associados a um campanha maliciosa a exploração de falhas de segurança em aparelhos Ivanti executou uma versão do JQuery que era suscetível a pelo menos uma das três falhas, CVE-2020-11023 CVE-2020-11022, e CVE-2019-11358.

De acordo com a Diretiva Operacional Vinculativa (BOD) 22-01, recomenda-se que as agências do Poder Executivo Civil Federal (FCEB) corrijam a falha identificada até 13 de fevereiro de 2025, para proteger suas redes contra ameaças ativas.

Fonte: thehackernews.com