ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Perşembe günü yerleştirilmiş popüler jQuery JavaScript kitaplığını Bilinen İstismara Uğrayan Güvenlik Açıklarına kadar etkileyen, artık yamalanmış bir güvenlik hatası (KEV) aktif istismarın kanıtlarına dayanan katalog.
Orta şiddette güvenlik açığı CVE-2020-11023 (CVSS puanı: 6,1/6,9), rastgele kod yürütmek için istismar edilebilecek, neredeyse beş yıllık bir siteler arası komut dosyası çalıştırma (XSS) hatası.
“İçeren HTML’yi geçirme
Sorun şuydu: adreslenmiş Nisan 2020’de yayımlanan jQuery 3.5.0 sürümünde. CVE-2020-11023 için bir geçici çözüm, DOMpurify ile SAFE_FOR_JQUERY bayrağı HTML dizesini bir jQuery yöntemine aktarmadan önce sterilize edecek şekilde ayarlayın.
Genellikle olduğu gibi, CISA’nın tavsiyeleri istismarın spesifik doğası ve bu eksikliği silahlandıran tehdit aktörlerinin kimliği hakkındaki ayrıntılara dayanıyor. Söz konusu kusurdan yararlanan saldırılarla ilgili kamuya açık herhangi bir rapor da mevcut değildir.
Bununla birlikte Hollandalı güvenlik firması EclecticIQ açıklığa kavuşmuş Şubat 2024’te, Ivanti cihazlarındaki güvenlik açıklarından yararlanan kötü amaçlı bir kampanyayla ilişkili komuta ve kontrol (C2) adreslerinin, üç kusurdan en az birine (CVE-2020-11023) duyarlı bir JQuery sürümü çalıştırdığı ortaya çıktı. CVE-2020-11022Ve CVE-2019-11358.
Bağlayıcı Operasyonel Direktif (BOD) 22-01 uyarınca, Federal Sivil Yürütme Organı (FCEB) kurumlarının, ağlarını aktif tehditlere karşı güvence altına almak için 13 Şubat 2025’e kadar tespit edilen kusuru düzeltmeleri tavsiye edilmektedir.
