CVE-2020-7656

사이트 간 스크립팅
영향
jQuery
<1.9.0
in
jQuery
패치 사용 가능
이 취약점은 HeroDevs에서 제공하는 네버엔딩 지원(NES) 버전에서 수정되었습니다.

재현 단계

The jQuery $.load() command provides a simple way to load content from other servers and insert it into  the current web page. By design, as part of its sanitization process, it is supposed to remove “<script>” tags to ensure that malicious code cannot be inserted into the page and executed.

The vulnerability fails to recognize and remove  “<script>” tags that contain a whitespace character, which can result in Cross-site Scripting attacks by including malicious code in the included script.

문제 해결

1.9.1 이전 버전의 jQuery를 사용하는 클라이언트는 이 수정 사항이 포함된 이 버전으로 즉시 업그레이드해야 합니다. 또는 1.6을 계속 사용해야 하는 클라이언트는 이 문제 및 기타 CVE가 수정된 jQuery 버전을 제공하는 HeroDevs 네버 엔딩 지원을 활용할 수 있습니다.

학습 및 예방

일반적으로 jQuery는 여러 가지 방법을 사용하여 데이터를 위생 처리합니다. 이 경우 실제 살균 방법에 취약점이 있었습니다. 이러한 경우 가장 좋은 비즈니스 관행은 익스플로잇이 공개적으로 게시된 후 최소한의 시간 동안 서버가 취약해지지 않도록 보안 업데이트를 최신 상태로 유지하는 것입니다.

결론

히어로데브의 jQuery 네버엔딩 지원은 모든 중요한 종속성에 대한 최신의 안전한 코드를 확보하여 팀의 삶을 더 쉽고 편리하게 만들어 줍니다. 지금 바로 HeroDevs에 문의하여 종합적인 지원 서비스를 신청하세요.

리소스

NIST CVE-2020-7656 항목