La CISA ajoute une faille XSS de jQuery vieille de cinq ans à la liste des vulnérabilités exploitées

  • Accueil
  • Non classé
  • La CISA ajoute une faille XSS de jQuery vieille de cinq ans à la liste des vulnérabilités exploitées

La CISA ajoute une faille XSS de jQuery vieille de cinq ans à la liste des vulnérabilités exploitées

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a placé jeudi une faille de sécurité désormais corrigée affectant la populaire bibliothèque JavaScript jQuery dans son catalogue de vulnérabilités exploitées connues ( KEV ), sur la base de preuves d’exploitation active.

La vulnérabilité de gravité moyenne est CVE-2020-11023 (score CVSS : 6,1/6,9), un bug de script intersite (XSS) vieux de près de cinq ans qui pourrait être exploité pour réaliser l’exécution de code arbitraire.

« Le passage de code HTML contenant des éléments <option> provenant de sources non fiables – même après les avoir nettoyés – à l’une des méthodes de manipulation DOM de jQuery (c’est-à-dire .html(), .append() et autres) peut exécuter du code non fiable », selon un avis GitHub publié pour la faille.

Le problème a été résolu dans la version 3.5.0 de jQuery publiée en avril 2020. Une solution de contournement pour CVE-2020-11023 consiste à utiliser DOMPurify avec l’ indicateur SAFE_FOR_JQUERY défini pour nettoyer la chaîne HTML avant de la transmettre à une méthode jQuery.

Comme c’est souvent le cas, l’avis de la CISA ne donne que peu de détails sur la nature spécifique de l’exploitation et sur l’identité des acteurs malveillants qui exploitent cette faille. Il n’existe pas non plus de rapports publics relatifs à des attaques exploitant la faille en question.

Cela dit, la société de sécurité néerlandaise EclecticIQ a révélé en février 2024 que les adresses de commande et de contrôle (C2) associées à une campagne malveillante exploitant des failles de sécurité dans les appareils Ivanti exécutaient une version de JQuery sensible à au moins l’une des trois failles, CVE-2020-11023, CVE-2020-11022 et CVE-2019-11358 .

Conformément à la directive opérationnelle contraignante (BOD) 22-01, il est recommandé aux agences du Federal Civilian Executive Branch (FCEB) de remédier à la faille identifiée d’ici le 13 février 2025, afin de sécuriser leurs réseaux contre les menaces actives.

Source: https://thehackernews.com/

Post Your Comment

Abonnez-vous à notre newsletter

En vous abonnant à notre newsletter, vous serez toujours informé des dernières actualités, offres exclusives et conseils personnalisés, directement dans votre boîte de réception.

Transformez vos ambitions, en Compétences Professionnelles

Facebook-square Linkedin Youtube
Formations
Services
Nous Contacter