Falha de Segurança em jQuery
24 de Janeiro de 2025

A Agência de Segurança de Cibersegurança e Infraestrutura dos EUA (CISA) na quinta-feira adicionou uma falha de segurança agora corrigida que impacta a popular biblioteca JavaScript jQuery ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.

A vulnerabilidade de gravidade média é a CVE-2020-11023 (pontuação CVSS: 6.1/6.9), um bug de cross-site scripting (XSS) de quase cinco anos que poderia ser explorado para alcançar execução arbitrária de código.

"Passar HTML contendo elementos <option> de fontes não confiáveis - mesmo após desinfetá-los - para um dos métodos de manipulação do DOM do jQuery (i.e., .html(), .append() e outros) pode executar código não confiável", segundo um aviso publicado no GitHub acerca da falha.

O problema foi resolvido na versão 3.5.0 do jQuery lançada em abril de 2020.

Uma solução alternativa para a CVE-2020-11023 envolve o uso de DOMPurify com a bandeira SAFE_FOR_JQUERY configurada para desinfetar a string HTML antes de passá-la para um método do jQuery.

Como é típico, o aviso da CISA é limitado em detalhes sobre a natureza específica da exploração e a identidade dos atores de ameaças que estão explorando a falha.

Também não existem relatos públicos relacionados a ataques que exploram a falha em questão.

No entanto, a empresa de segurança holandesa EclecticIQ revelou em fevereiro de 2024 que os endereços de comando e controle (C2) associados a uma campanha maliciosa explorando falhas de segurança nos aparelhos da Ivanti executavam uma versão do jQuery que estava suscetível a pelo menos uma das três falhas, CVE-2020-11023 , CVE-2020-11022 e CVE-2019-11358 .

De acordo com a Diretriz Operacional Vinculante (BOD) 22-01, recomenda-se que as agências do Ramo Executivo Federal Civil (FCEB) remedeiem a falha identificada até 13 de fevereiro de 2025, para proteger suas redes contra ameaças ativas.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...