Gravedad:Media Vulnerabilidad: CVE-2020-7656
Fecha de publicación: Mayo 27, 2020
Última revisión: Mayo 27, 2020
Portal: https://jquery.com/
Sistemas Afectados:
Vulnerabilidades de seguridad que afectan a todas las versiones de jQuery desde
la versión 1.0 hasta la 1.8.3.
I. Descripción
Actualización de seguridad que afecta a la biblioteca multiplataforma JavaScript.
II. Impacto
Vulnerabilidad: CVE-2020-7656
Debido a que la función “load()” falla al reconocer y remover las marcas HTML <script> que contengan un espacio en blanco, por ejemplo, “</script >”, esto permitiría a un atacante remoto realizar ataques XSS (Cross-site Scripting) para el robo de información sensible, engañar usuarios, cambiar la apariencia del sitio, entre otros métodos.
Actualmente se cuenta con información pública para explotar esta vulnerabilidad, por lo que se recomienda actualizar a la brevedad.
III. Referencia a soluciones, herramientas e información
Actualizar a las versiones de jQuery 1.9.0 o superior, mediante su sitio web (https://jquery.com/download/).
Fuentes:
- Develop fast Stay secure. SNYK. Cross-site Scripting (XSS). Recopilado en: https://snyk.io/vuln/SNYK-JS-JQUERY-569619
- Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7656
- CSIRT Chile. 26 de mayo del 2020. Vulnerabilidades. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa20-00225-01/