Falha de Segurança em jQuery
24 de Janeiro de 2025

A Agência de Segurança de Cibersegurança e Infraestrutura dos EUA (CISA) na quinta-feira adicionou uma falha de segurança agora corrigida que impacta a popular biblioteca JavaScript jQuery ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.

A vulnerabilidade de gravidade média é a CVE-2020-11023 (pontuação CVSS: 6.1/6.9), um bug de cross-site scripting (XSS) de quase cinco anos que poderia ser explorado para alcançar execução arbitrária de código.

"Passar HTML contendo elementos <option> de fontes não confiáveis - mesmo após desinfetá-los - para um dos métodos de manipulação do DOM do jQuery (i.e., .html(), .append() e outros) pode executar código não confiável", segundo um aviso publicado no GitHub acerca da falha.

O problema foi resolvido na versão 3.5.0 do jQuery lançada em abril de 2020.

Uma solução alternativa para a CVE-2020-11023 envolve o uso de DOMPurify com a bandeira SAFE_FOR_JQUERY configurada para desinfetar a string HTML antes de passá-la para um método do jQuery.

Como é típico, o aviso da CISA é limitado em detalhes sobre a natureza específica da exploração e a identidade dos atores de ameaças que estão explorando a falha.

Também não existem relatos públicos relacionados a ataques que exploram a falha em questão.

No entanto, a empresa de segurança holandesa EclecticIQ revelou em fevereiro de 2024 que os endereços de comando e controle (C2) associados a uma campanha maliciosa explorando falhas de segurança nos aparelhos da Ivanti executavam uma versão do jQuery que estava suscetível a pelo menos uma das três falhas, CVE-2020-11023 , CVE-2020-11022 e CVE-2019-11358 .

De acordo com a Diretriz Operacional Vinculante (BOD) 22-01, recomenda-se que as agências do Ramo Executivo Federal Civil (FCEB) remedeiem a falha identificada até 13 de fevereiro de 2025, para proteger suas redes contra ameaças ativas.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...