재현 단계
The jQuery $.load() command provides a simple way to load content from other servers and insert it into the current web page. By design, as part of its sanitization process, it is supposed to remove “<script>” tags to ensure that malicious code cannot be inserted into the page and executed.
The vulnerability fails to recognize and remove “<script>” tags that contain a whitespace character, which can result in Cross-site Scripting attacks by including malicious code in the included script.
문제 해결
1.9.1 이전 버전의 jQuery를 사용하는 클라이언트는 이 수정 사항이 포함된 이 버전으로 즉시 업그레이드해야 합니다. 또는 1.6을 계속 사용해야 하는 클라이언트는 이 문제 및 기타 CVE가 수정된 jQuery 버전을 제공하는 HeroDevs 네버 엔딩 지원을 활용할 수 있습니다.
학습 및 예방
일반적으로 jQuery는 여러 가지 방법을 사용하여 데이터를 위생 처리합니다. 이 경우 실제 살균 방법에 취약점이 있었습니다. 이러한 경우 가장 좋은 비즈니스 관행은 익스플로잇이 공개적으로 게시된 후 최소한의 시간 동안 서버가 취약해지지 않도록 보안 업데이트를 최신 상태로 유지하는 것입니다.
결론
히어로데브의 jQuery 네버엔딩 지원은 모든 중요한 종속성에 대한 최신의 안전한 코드를 확보하여 팀의 삶을 더 쉽고 편리하게 만들어 줍니다. 지금 바로 HeroDevs에 문의하여 종합적인 지원 서비스를 신청하세요.
리소스
저희가 지원하는 오픈 소스 소프트웨어에서 새로운 취약점이 수정될 때마다 알림을 받으세요.