9VSA20-00225-01 CSIRT comparte actualizaciones de jQuery
CSIRT comparte la información obtenida de jQuery referente a vulnerabilidad que afecta a su biblioteca multiplataforma JavaScript
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida de jQuery referente a vulnerabilidad que afecta a su biblioteca multiplataforma JavaScript. El presente informe incluye la respectiva medida de mitigación.
Vulnerabilidad
CVE-2020-7656
Debido a que la función “load()” falla al reconocer y remover las marcas HTML <script> que contengan un espacio en blanco, por ejemplo, “</script >”, esto permitiría a un atacante remoto realizar ataques XSS (Cross-site Scripting) para el robo de información sensible, engañar usuarios, cambiar la apariencia del sitio, etc.
Nota: Existen formas públicas de explotar esta vulnerabilidad, por lo que se recomienda actualizar a la brevedad.
Productos Afectados
jQuery desde la versión 1.0 hasta la 1.8.3.
Mitigación
Actualizar a jQuery a la versión 1.9.0 o superior.
Enlaces
https://snyk.io/vuln/SNYK-JS-JQUERY-569619
https://github.com/jquery/jquery/blob/9e6393b0bcb52b15313f88141d0bd7dd54227426/src/ajax.js#L203
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7656
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00225-01