Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07871

Опубликовано: 04 мая 2021
Источник: fstec
CVSS3: 6.5
CVSS2: 7.8
EPSS Средний

Описание

Уязвимость метода .position() библиотеки jQuery UI связана с непринятием мер по защите структуры веб-страницы при обработке значений параметра of. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Oracle Corp.
Сообщество свободного программного обеспечения
Fedora Project
NetApp Inc.
АО "НППКТ"
The jQuery Foundation

Наименование ПО

WebLogic Server
Debian GNU/Linux
Primavera Unifier
Oracle Hospitality Materials Control
Banking Platform
Oracle Agile PLM
Oracle Communications Interactive Session Recorder
Fedora
Hospitality Suite8
Oracle Communications Operations Monitor
Oracle Hospitality Inventory Management
NetApp HCI Baseboard Management Controller H410C
NetApp HCI Baseboard Management Controller H300S
NetApp HCI Baseboard Management Controller H500S
NetApp HCI Baseboard Management Controller H700S
NetApp HCI Baseboard Management Controller H410S
JD Edwards EnterpriseOne Tools
MySQL Enterprise Monitor
Oracle Big Data Spatial and Graph
Database Server
ОСОН ОСнова Оnyx
Oracle PeopleSoft Enterprise PeopleTools
NetApp Cloud Backup (formerly AltaVault)
jQuery UI
REST Data Services
Oracle Policy Automation
Drupal
SnapCenter

Версия ПО

12.2.1.3.0 (WebLogic Server)
10 (Debian GNU/Linux)
18.8 (Primavera Unifier)
12.2.1.4.0 (WebLogic Server)
19.12 (Primavera Unifier)
от 17.7 до 17.12 включительно (Primavera Unifier)
18.1 (Oracle Hospitality Materials Control)
2.9.0 (Banking Platform)
9.3.6 (Oracle Agile PLM)
14.1.1.0.0 (WebLogic Server)
6.4 (Oracle Communications Interactive Session Recorder)
33 (Fedora)
8.10.2 (Hospitality Suite8)
от 8.11 до 8.14 включительно (Hospitality Suite8)
20.12 (Primavera Unifier)
4.3 (Oracle Communications Operations Monitor)
34 (Fedora)
9.1.0 (Oracle Hospitality Inventory Management)
11 (Debian GNU/Linux)
35 (Fedora)
36 (Fedora)
4.4 (Oracle Communications Operations Monitor)
5.0 (Oracle Communications Operations Monitor)
- (NetApp HCI Baseboard Management Controller H410C)
- (NetApp HCI Baseboard Management Controller H300S)
- (NetApp HCI Baseboard Management Controller H500S)
- (NetApp HCI Baseboard Management Controller H700S)
- (NetApp HCI Baseboard Management Controller H410S)
до 9.2.6.3 включительно (JD Edwards EnterpriseOne Tools)
21.12 (Primavera Unifier)
до 8.0.29 включительно (MySQL Enterprise Monitor)
до 23.1 (Oracle Big Data Spatial and Graph)
до 22.1.1 (Database Server)
до 2.7 (ОСОН ОСнова Оnyx)
8.58 (Oracle PeopleSoft Enterprise PeopleTools)
- (NetApp Cloud Backup (formerly AltaVault))
до 1.13.0 (jQuery UI)
до 22.1.1 (REST Data Services)
2.12.0 (Banking Platform)
от 12.2.0 до 12.2.25 включительно (Oracle Policy Automation)
8.59 (Oracle PeopleSoft Enterprise PeopleTools)
от 7.0 до 7.86 (Drupal)
от 8.0.0 до 9.2.11 (Drupal)
от 9.3.0 до 9.3.3 (Drupal)
до 4.7 (SnapCenter)

Тип ПО

Сетевое программное средство
Операционная система
Прикладное ПО информационных систем
ПО программно-аппаратного средства АСУ ТП
СУБД
ПО сетевого программно-аппаратного средства
Сетевое средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 33
Fedora Project Fedora 34
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Fedora Project Fedora 35
Fedora Project Fedora 36
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для jQuery-UI:
https://blog.jqueryui.com/2021/10/jquery-ui-1-13-0-released/
https://github.com/jquery/jquery-ui/commit/effa323f1505f2ce7a324e4f429fa9032c72f280
https://github.com/jquery/jquery-ui/security/advisories/GHSA-gpqq-952q-5327
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HVKIOWSXL2RF2ULNAP7PHESYCFSZIJE3/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/NXIUUBRVLA4E7G7MMIKCEN75YN7UFERW/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/O74SXYY7RGXREQDQUDQD4BPJ4QQTD2XQ/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SGSY236PYSFYIEBRGDERLA7OSY6D7XL4/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SNXA7XRKGINWSUIPIZ6ZBCTV6N3KSHES/
Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2023/08/msg00040.html
https://security-tracker.debian.org/tracker/CVE-2021-41184
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2022.html:
https://www.oracle.com/security-alerts/cpujul2022.html
Для Drupal:
https://www.drupal.org/sa-core-2022-001
Для программных продуктов NetApp Inc:
https://security.netapp.com/advisory/ntap-20211118-0004/
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения jqueryui до версии 1.12.1+dfsg-5+deb10u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.2794
Средний

6.5 Medium

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-41184

CVSS3: 6.5
ubuntu
больше 3 лет назад

jQuery-UI is the official jQuery user interface library. Prior to version 1.13.0, accepting the value of the `of` option of the `.position()` util from untrusted sources may execute untrusted code. The issue is fixed in jQuery UI 1.13.0. Any string value passed to the `of` option is now treated as a CSS selector. A workaround is to not accept the value of the `of` option from untrusted sources.

redhat логотип

CVE-2021-41184

CVSS3: 6.5
redhat
больше 3 лет назад

jQuery-UI is the official jQuery user interface library. Prior to version 1.13.0, accepting the value of the `of` option of the `.position()` util from untrusted sources may execute untrusted code. The issue is fixed in jQuery UI 1.13.0. Any string value passed to the `of` option is now treated as a CSS selector. A workaround is to not accept the value of the `of` option from untrusted sources.

nvd логотип

CVE-2021-41184

CVSS3: 6.5
nvd
больше 3 лет назад

jQuery-UI is the official jQuery user interface library. Prior to version 1.13.0, accepting the value of the `of` option of the `.position()` util from untrusted sources may execute untrusted code. The issue is fixed in jQuery UI 1.13.0. Any string value passed to the `of` option is now treated as a CSS selector. A workaround is to not accept the value of the `of` option from untrusted sources.

debian логотип

CVE-2021-41184

CVSS3: 6.5
debian
больше 3 лет назад

jQuery-UI is the official jQuery user interface library. Prior to vers ...

github логотип

GHSA-gpqq-952q-5327

CVSS3: 6.5
github
больше 3 лет назад

XSS in the `of` option of the `.position()` util in jquery-ui

EPSS

Процентиль: 96%
0.2794
Средний

6.5 Medium

CVSS3

7.8 High

CVSS2