La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) el jueves metido Una falla de seguridad ahora repleta que impacta la popular biblioteca javaScript JavaScript a sus vulnerabilidades explotadas conocidas (Kev) catálogo, basado en evidencia de explotación activa.
La vulnerabilidad de la severidad media es CVE-2020-11023 (Puntuación CVSS: 6.1/6.9), un error de secuencias de comandos de sitios cruzados (XSS) de casi cinco años que podría explotarse para lograr la ejecución del código arbitrario.
“Pasando HTML que contiene
El problema fue dirigido en jQuery versión 3.5.0 lanzado en abril de 2020. Una solución para CVE-2020-11023 implica usar Dominar con el SAFE_FOR_JQUERY FLAG Establecer para desinfectar la cadena HTML antes de pasarla a un método jQuery.
Como suele ser el caso, el aviso de CISA se inclina en los detalles sobre la naturaleza específica de la explotación y la identidad de los actores de amenaza que arman la deficiencia. Tampoco hay informes públicos relacionados con ataques que aprovechen el defecto en cuestión.
Dicho esto, la firma de seguridad holandesa Eclecticiq reveló En febrero de 2024, las direcciones de comando y control (C2) asociadas con una campaña maliciosa que explota fallas de seguridad en los electrodomésticos Ivanti ejecutó una versión de jQuery que era susceptible a al menos uno de los tres defectos, CVE-2020-11023, CVE-2020-11022y CVE-2019-11358.
De conformidad con la Directiva Operativa vinculante (BOD) 22-01, se recomienda a las agencias de rama ejecutiva civil federal (FCEB) para remediar el defecto identificado antes del 13 de febrero de 2025, para asegurar sus redes contra las amenazas activas.
About the Author
