ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) Perşembe günü, popüler JQuery JavaScript kütüphanesini, aktif sömürü kanıtlarına dayanarak bilinen sömürülen güvenlik açıkları (KEV) kataloğuna etkileyen şimdi paylaşılmış bir güvenlik kusuru yerleştirdi.
Orta yüzeysel güvenlik açığı CVE-2020-11023 (CVSS Puanı: 6.1/6.9), keyfi kod yürütme elde etmek için kullanılabilecek yaklaşık beş yıllık siteler arası komut dosyası (XSS) hatası.
“İçeren HTML Geçişi
Sorun, Nisan 2020’de yayınlanan JQuery sürüm 3.5.0’da ele alındı. CVE-2020-11023 için bir geçici çözüm, bir jQuery yöntemine geçmeden önce HTML dizesini sterilize etmek için SAFUR_FOR_JQUERY bayrağı ile DomPurify kullanmayı içerir.
Tipik olarak olduğu gibi, CISA danışmanlığı, sömürünün belirli doğası ve eksikliği silahlandıran tehdit aktörlerinin kimliği hakkında ayrıntılara yaslanmaktadır. Ayrıca, söz konusu kusurdan yararlanan saldırılarla ilgili kamuoyu raporları da yok.
Bununla birlikte, Hollanda güvenlik firması Eclecticiq, Şubat 2024’te Ivanti cihazlarındaki güvenlik kusurlarından yararlanan kötü niyetli bir kampanyayla ilişkili komuta ve kontrol (C2), JQuery’nin üç flaws’tan en az birine duyarlı bir versiyonunu yönettiğini açıkladı. CVE-2020-11023, CVE-2020-11022 ve CVE-2019-11358.
Bağlayıcı Operasyonel Direktif (BOD) 22-01 uyarınca, Federal Sivil Yürütme Şubesi (FCEB) ajanslarının, ağlarını aktif tehditlere karşı güvence altına almak için 13 Şubat 2025’e kadar belirlenen kusurları düzeltmeleri önerilir.