Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-04949

Опубликовано: 29 апр. 2020
Источник: fstec
CVSS3: 6.1
CVSS2: 5.8
EPSS Средний

Описание

Уязвимость библиотеки jQuery существует из-за недостаточной очистки предоставленных пользователем данных при передаче элементов <option> в методы DOM jQuery. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять межсайтовые сценарные атаки

Вендор

Oracle Corp.
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Novell Inc.
Fedora Project
The jQuery Foundation
АО "НППКТ"
АО «НТЦ ИТ РОСА»
АО «Концерн ВНИИНС»
Moxa Inc.

Наименование ПО

Database
Red Hat Enterprise Linux
Debian GNU/Linux
WebLogic Server
Astra Linux Special Edition
Red Hat Virtualization
WebCenter Sites
Astra Linux Common Edition
OpenSUSE Leap
OpenShift Container Platform
Jboss Fuse
Application Testing Suite
Fedora
Red Hat Ceph Storage
Red Hat Software Collections
Red Hat Single Sign-On
Astra Linux Special Edition для «Эльбрус»
PeopleSoft Enterprise HCM Human Resources
Oracle Hospitality Materials Control
Oracle Healthcare Translational Research
Red Hat Storage
Oracle Communications Session Route Manager
Primavera Gateway
CloudForms Management Engine
Ansible Tower
Red Hat OpenStack Platform
Hyperion Financial Management
Openshift Service Mesh
Communications Billing and Revenue Management
Red Hat Virtualization Engine
jQuery
Oracle Banking Enterprise Collections
Communications WebRTC Session Controller
Enterprise Session Border Controller
Oracle Hospitality Simphony
A-MQ Interconnect
StorageTek Tape Analytics SW Tool
JD Edwards EnterpriseOne Orchestrator
JD Edwards EnterpriseOne Tools
Oracle Agile Product Lifecycle Management for Process
Transportation Management
Siebel Mobile Applications
ОСОН ОСнова Оnyx
РОСА Кобальт
ОС ОН «Стрелец»
OnCell 3120-LTE-1

Версия ПО

11.2.0.4 (Database)
12.1.0.1 (Database)
12.1.0.2 (Database)
7 (Red Hat Enterprise Linux)
9 (Debian GNU/Linux)
12.1.3.0.0 (WebLogic Server)
18c (Database)
1.6 «Смоленск» (Astra Linux Special Edition)
8.0 (Debian GNU/Linux)
4 (Red Hat Virtualization)
12.2.1.3.0 (WebLogic Server)
12.2.1.3.0 (WebCenter Sites)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Red Hat Enterprise Linux)
15.1 (OpenSUSE Leap)
19c (Database)
3.11 (OpenShift Container Platform)
7 (Jboss Fuse)
13.3.0.1 (Application Testing Suite)
10 (Debian GNU/Linux)
31 (Fedora)
3 (Red Hat Ceph Storage)
- (Red Hat Software Collections)
7 (Red Hat Single Sign-On)
12.2.1.4.0 (WebLogic Server)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
9.2 (PeopleSoft Enterprise HCM Human Resources)
18.1 (Oracle Hospitality Materials Control)
3.2.1 (Oracle Healthcare Translational Research)
3.3.1 (Oracle Healthcare Translational Research)
32 (Fedora)
3 (Red Hat Storage)
8.1.1 (Oracle Communications Session Route Manager)
8.2.0 (Oracle Communications Session Route Manager)
от 16.2.0 до 16.2.11 включительно (Primavera Gateway)
4 (OpenShift Container Platform)
5 (CloudForms Management Engine)
3 (Ansible Tower)
16 (Train) (Red Hat OpenStack Platform)
11.1.2.4 (Hyperion Financial Management)
15.2 (OpenSUSE Leap)
1.1 (Openshift Service Mesh)
4 (Red Hat Ceph Storage)
8.2.1 (Oracle Communications Session Route Manager)
14.1.1.0.0 (WebLogic Server)
от 17.12.0 до 17.12.7 включительно (Primavera Gateway)
от 18.8.0 до 18.8.9 включительно (Primavera Gateway)
от 19.12.0 до 19.12.4 включительно (Primavera Gateway)
7.5.0.23.0 (Communications Billing and Revenue Management)
12.0.0.3.0 (Communications Billing and Revenue Management)
12.2.1.4.0 (WebCenter Sites)
4.4 (Red Hat Virtualization Engine)
до 20.2 (Database)
от 1.0.3 до 3.5.0 (jQuery)
33 (Fedora)
от 2.7.0 до 2.8.0 включительно (Oracle Banking Enterprise Collections)
3.3.2 (Oracle Healthcare Translational Research)
3.4.0 (Oracle Healthcare Translational Research)
7.2 (Communications WebRTC Session Controller)
8.4 (Enterprise Session Border Controller)
18.1 (Oracle Hospitality Simphony)
18.2 (Oracle Hospitality Simphony)
от 19.1.0 до 19.1.2 включительно (Oracle Hospitality Simphony)
1.y for RHEL 6 (A-MQ Interconnect)
1.y for RHEL 7 (A-MQ Interconnect)
1.y for RHEL 8 (A-MQ Interconnect)
4.5 (OpenShift Container Platform)
2.3.1 (StorageTek Tape Analytics SW Tool)
до 9.2.5.0 (JD Edwards EnterpriseOne Orchestrator)
до 9.2.5.0 (JD Edwards EnterpriseOne Tools)
6.1 (Oracle Agile Product Lifecycle Management for Process)
1.4.3 (Transportation Management)
до 20.12 включительно (Siebel Mobile Applications)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.1 (ОСОН ОСнова Оnyx)
7.9 (РОСА Кобальт)
до 16.01.2023 (ОС ОН «Стрелец»)
до 2.3 включительно (OnCell 3120-LTE-1)

Тип ПО

СУБД
Операционная система
Сетевое программное средство
ПО виртуализации/ПО виртуального программно-аппаратного средства
Программное средство защиты
Прикладное ПО информационных систем
ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 8.0
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.1
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 31
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Fedora Project Fedora 32
Novell Inc. OpenSUSE Leap 15.2
Fedora Project Fedora 33
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» РОСА Кобальт 7.9
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для jQuery:
https://blog.jquery.com/2020/04/10/jquery-3-5-0-released/
https://jquery.com/upgrade-guide/3.5/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AVKYXLWCLZBV2N7M46KYK4LVA5OXWPBY/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QPN2L2XVQGUA2V5HNQJWHK3APSK3VN7K/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SAPQVX3XDNPGFT26QAQ6AJIXZZBZ4CD4/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SFP4UK4EGP4AFH2MWYJ5A5Z4I7XVFQ6B/
Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00067.html
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00085.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-11023
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-11023
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
Для Moxa:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-244707-oncell-3120-lte-1-series-multiple-jquery-vulnerabilities
Для Astra Linux:
Использование рекомендаций производителя
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Для ОСОН Основа:
Обновление программного обеспечения jquery до версии 3.3.1~dfsg-3+deb10u1
Для ОС ОН «Стрелец»:
Обновление программного обеспечения jquery до версии 3.1.1-2+deb9u2
Для ОС РОСА &quot;КОБАЛЬТ&quot;: https://abf.rosa.ru/advisories/ROSA-SA-2025-2760

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.118
Средний

6.1 Medium

CVSS3

5.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-11023

CVSS3: 6.9
ubuntu
около 5 лет назад

In jQuery versions greater than or equal to 1.0.3 and before 3.5.0, passing HTML containing <option> elements from untrusted sources - even after sanitizing it - to one of jQuery's DOM manipulation methods (i.e. .html(), .append(), and others) may execute untrusted code. This problem is patched in jQuery 3.5.0.

redhat логотип

CVE-2020-11023

CVSS3: 6.1
redhat
около 5 лет назад

In jQuery versions greater than or equal to 1.0.3 and before 3.5.0, passing HTML containing <option> elements from untrusted sources - even after sanitizing it - to one of jQuery's DOM manipulation methods (i.e. .html(), .append(), and others) may execute untrusted code. This problem is patched in jQuery 3.5.0.

nvd логотип

CVE-2020-11023

CVSS3: 6.9
nvd
около 5 лет назад

In jQuery versions greater than or equal to 1.0.3 and before 3.5.0, passing HTML containing <option> elements from untrusted sources - even after sanitizing it - to one of jQuery's DOM manipulation methods (i.e. .html(), .append(), and others) may execute untrusted code. This problem is patched in jQuery 3.5.0.

debian логотип

CVE-2020-11023

CVSS3: 6.9
debian
около 5 лет назад

In jQuery versions greater than or equal to 1.0.3 and before 3.5.0, pa ...

rocky логотип

RLSA-2025:1338

rocky
4 месяца назад

Moderate: gcc-toolset-14-gcc security update

EPSS

Процентиль: 93%
0.118
Средний

6.1 Medium

CVSS3

5.8 Medium

CVSS2