CVE-2021-41184

Опубликовано: 26 окт. 2021

Источник: debian

EPSS Средний

Описание

jQuery-UI is the official jQuery user interface library. Prior to version 1.13.0, accepting the value of the `of` option of the `.position()` util from untrusted sources may execute untrusted code. The issue is fixed in jQuery UI 1.13.0. Any string value passed to the `of` option is now treated as a CSS selector. A workaround is to not accept the value of the `of` option from untrusted sources.

Пакеты

Пакет	Статус	Версия исправления	Релиз	Тип
jqueryui	fixed	1.13.0+dfsg-1		package
jqueryui	fixed	1.12.1+dfsg-8+deb11u1	bullseye	package
jqueryui	no-dsa		stretch	package
otrs2	fixed	6.3.1-1		package
otrs2	no-dsa		bullseye	package
otrs2	no-dsa		stretch	package

Примечания

https://github.com/jquery/jquery-ui/security/advisories/GHSA-gpqq-952q-5327
https://github.com/jquery/jquery-ui/commit/effa323f1505f2ce7a324e4f429fa9032c72f280
https://www.znuny.org/en/advisories/zsa-2022-01

EPSS

Процентиль: 96%

0.2794

Средний

Связанные уязвимости

CVE-2021-41184

CVSS3: 6.5

ubuntu

больше 3 лет назад

CVE-2021-41184

CVSS3: 6.5

redhat

больше 3 лет назад

CVE-2021-41184

CVSS3: 6.5

nvd

больше 3 лет назад

GHSA-gpqq-952q-5327

CVSS3: 6.5

github

больше 3 лет назад

XSS in the `of` option of the `.position()` util in jquery-ui

BDU:2023-07871

CVSS3: 6.5

fstec

около 4 лет назад

Уязвимость метода .position() библиотеки jQuery UI, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 96%

0.2794

Средний