{"id":1547638,"date":"2025-01-24T18:18:55","date_gmt":"2025-01-24T18:18:55","guid":{"rendered":"https:\/\/teknomers.com\/es\/cisa-agrega-fallas-de-jquery-xss-de-cinco-anos-a-la-lista-de-vulnerabilidades-explotadas\/"},"modified":"2025-01-24T18:19:01","modified_gmt":"2025-01-24T18:19:01","slug":"cisa-agrega-fallas-de-jquery-xss-de-cinco-anos-a-la-lista-de-vulnerabilidades-explotadas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cisa-agrega-fallas-de-jquery-xss-de-cinco-anos-a-la-lista-de-vulnerabilidades-explotadas\/","title":{"rendered":"CISA agrega fallas de JQuery XSS de cinco a\u00f1os a la lista de vulnerabilidades explotadas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>24 de enero de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vulnerabilidad \/ JavaScript<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) el jueves metido<\/a> Una falla de seguridad ahora repleta que impacta la popular biblioteca javaScript JavaScript a sus vulnerabilidades explotadas conocidas (Kev<\/a>) cat\u00e1logo, basado en evidencia de explotaci\u00f3n activa.<\/p>\n

La vulnerabilidad de la severidad media es CVE-2020-11023<\/a><\/strong> (Puntuaci\u00f3n CVSS: 6.1\/6.9), un error de secuencias de comandos de sitios cruzados (XSS) de casi cinco a\u00f1os que podr\u00eda explotarse para lograr la ejecuci\u00f3n del c\u00f3digo arbitrario.<\/p>\n

“Pasando HTML que contieneAviso de github<\/a> Lanzado para el defecto.<\/option><\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El problema fue dirigido<\/a> en jQuery versi\u00f3n 3.5.0 lanzado en abril de 2020. Una soluci\u00f3n para CVE-2020-11023 implica usar Dominar<\/a> con el SAFE_FOR_JQUERY FLAG<\/a> Establecer para desinfectar la cadena HTML antes de pasarla a un m\u00e9todo jQuery.<\/p>\n

Como suele ser el caso, el aviso de CISA se inclina en los detalles sobre la naturaleza espec\u00edfica de la explotaci\u00f3n y la identidad de los actores de amenaza que arman la deficiencia. Tampoco hay informes p\u00fablicos relacionados con ataques que aprovechen el defecto en cuesti\u00f3n.<\/p>\n

Dicho esto, la firma de seguridad holandesa Eclecticiq revel\u00f3<\/a> En febrero de 2024, las direcciones de comando y control (C2) asociadas con una campa\u00f1a maliciosa que explota fallas de seguridad en los electrodom\u00e9sticos Ivanti ejecut\u00f3 una versi\u00f3n de jQuery que era susceptible a al menos uno de los tres defectos, CVE-2020-11023, CVE-2020-11022<\/a>y CVE-2019-11358<\/a>.<\/p>\n

De conformidad con la Directiva Operativa vinculante (BOD) 22-01, se recomienda a las agencias de rama ejecutiva civil federal (FCEB) para remediar el defecto identificado antes del 13 de febrero de 2025, para asegurar sus redes contra las amenazas activas.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n