Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07536

Опубликовано: 25 мая 2020
Источник: fstec
CVSS3: 6.1
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость библиотеки jQuery связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить межсайтовую сценарную атаку с помощью метода load

Вендор

Red Hat Inc.
NetApp Inc.
The jQuery Foundation
Oracle Corp.
Juniper Networks Inc.
Moxa Inc.

Наименование ПО

Red Hat Enterprise Linux
Snap Creator Framework
Active IQ Unified Manager for Microsoft Windows
Active IQ Unified Manager for VMware vSphere
Active IQ Unified Manager for Linux
jQuery
Oracle PeopleSoft Enterprise PeopleTools
NetApp Cloud Backup (formerly AltaVault)
OnCommand System Manager
JunOS
OnCell 3120-LTE-1

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
8 (Red Hat Enterprise Linux)
- (Snap Creator Framework)
- (Active IQ Unified Manager for Microsoft Windows)
- (Active IQ Unified Manager for VMware vSphere)
- (Active IQ Unified Manager for Linux)
до 1.9.0 (jQuery)
8.58 (Oracle PeopleSoft Enterprise PeopleTools)
- (NetApp Cloud Backup (formerly AltaVault))
от 3.0.0 до 3.1.3 включительно (OnCommand System Manager)
21.2R1 (JunOS)
до 2.3 включительно (OnCell 3120-LTE-1)

Тип ПО

Операционная система
Прикладное ПО информационных систем
ПО сетевого программно-аппаратного средства
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
Juniper Networks Inc. JunOS 21.2R1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-7656
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2022.html
Для программных продуктов NetApp Inc.:
https://security.netapp.com/advisory/ntap-20200528-0001/
Для Junos OS:
https://supportportal.juniper.net/s/article/2021-07-Security-Bulletin-Junos-OS-Multiple-J-Web-vulnerabilities-resolved-in-Junos-OS-21-2R1?language=en_US
Для jQuery:
https://github.com/jquery/jquery/blob/9e6393b0bcb52b15313f88141d0bd7dd54227426/src/ajax.js#L203
Для Moxa:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-244707-oncell-3120-lte-1-series-multiple-jquery-vulnerabilities

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 77%
0.01105
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-7656

CVSS3: 6.1
ubuntu
около 5 лет назад

jquery prior to 1.9.0 allows Cross-site Scripting attacks via the load method. The load method fails to recognize and remove "<script>" HTML tags that contain a whitespace character, i.e: "</script >", which results in the enclosed script logic to be executed.

redhat логотип

CVE-2020-7656

CVSS3: 5.4
redhat
около 5 лет назад

jquery prior to 1.9.0 allows Cross-site Scripting attacks via the load method. The load method fails to recognize and remove "<script>" HTML tags that contain a whitespace character, i.e: "</script >", which results in the enclosed script logic to be executed.

nvd логотип

CVE-2020-7656

CVSS3: 6.1
nvd
около 5 лет назад

jquery prior to 1.9.0 allows Cross-site Scripting attacks via the load method. The load method fails to recognize and remove "<script>" HTML tags that contain a whitespace character, i.e: "</script >", which results in the enclosed script logic to be executed.

debian логотип

CVE-2020-7656

CVSS3: 6.1
debian
около 5 лет назад

jquery prior to 1.9.0 allows Cross-site Scripting attacks via the load ...

github логотип

GHSA-q4m3-2j7h-f7xw

CVSS3: 6.1
github
около 5 лет назад

Cross-Site Scripting in jquery

EPSS

Процентиль: 77%
0.01105
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2