CISA بر اساس شواهدی مبنی بر اکسپلویت فعال، یک نقص امنیتی وصله شده را که بر کتابخانه جاوا اسکریپت jQuery تأثیر میگذارد، به فهرست آسیبپذیریهای شناخته شده (KEV) افزود.
آسیبپذیری با شناسه CVE-2020-11023 (امتیاز CVSS: 6.1/6.9)، نقص امنیتی cross-site scripting (XSS) تقریباً پنج ساله است که میتواند برای اجرای کد دلخواه مورد سوء استفاده قرار گیرد. بر اساس یک توصیه GitHub که برای این نقص منتشر شده است: ارسال HTML حاوی عناصر <option> از منابع نامعتبر – حتی پس از پاکسازی آنها – به یکی از روشهای دستکاری jQuery’s DOM (یعنی ()html(), .append. و سایرین) ممکن است کد نامعتبر را اجرا کند. در آوریل 2020، نسخه 3.5.0 jQuery منتشر و این نقص برطرف شد. یک راه حل برای CVE-2020-11023 شامل استفاده از DOMPurify با SAFE_FOR_JQUERY flag برای پاکسازی رشته HTML قبل از ارسال آن به روش jQuery است.
https://thehackernews.com/2025/01/cisa-adds-five-year-old-jquery-xss-flaw.html
