Janeiro 25, 2025
Rico Olivetti Desenvolvimento, Tecnologia

CISA adiciona falha jQuery XSS de cinco anos à lista de vulnerabilidades exploradas

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) colocou na quinta-feira uma falha de segurança, já corrigida, que afeta a popular biblioteca JavaScript jQuery em seu catálogo de Vulnerabilidades Exploradas Conhecidas ( KEV ), com base em evidências de exploração ativa.

A vulnerabilidade de gravidade média é CVE-2020-11023 (pontuação CVSS: 6,1/6,9), um bug de script entre sites (XSS) de quase cinco anos que pode ser explorado para obter execução arbitrária de código.

“Passar HTML contendo elementos <option> de fontes não confiáveis ​​— mesmo depois de higienizá-los — para um dos métodos de manipulação DOM do jQuery (ou seja, .html(), .append() e outros) pode executar código não confiável”, de acordo com um aviso do GitHub divulgado sobre a falha.

O problema foi resolvido na versão 3.5.0 do jQuery lançada em abril de 2020. Uma solução alternativa para o CVE-2020-11023 envolve usar DOMPurify com o sinalizador SAFE_FOR_JQUERY definido para higienizar a string HTML antes de passá-la para um método jQuery.

Como é tipicamente o caso, o aviso da CISA é enxuto em detalhes sobre a natureza específica da exploração e a identidade dos atores da ameaça que estão armando a falha. Nem há relatórios públicos recentes relacionados a ataques que alavancam a falha em questão.

Dito isso, há relatos de que a vulnerabilidade foi explorada por agentes de ameaças como APT1 (também conhecido como Brown Fox e Comment Panda) e APT27 (também conhecido como Brown Worm e Emissary Panda), segundo relatórios da Health-ISAC e da Tenable .

A empresa de segurança holandesa EclecticIQ também revelou em fevereiro de 2024 que os endereços de comando e controle (C2) associados a uma campanha maliciosa que explorava falhas de segurança em dispositivos Ivanti executavam uma versão do JQuery que era suscetível a pelo menos uma das três falhas, CVE-2020-11023, CVE-2020-11022 e CVE-2019-11358 .

De acordo com a Diretiva Operacional Vinculativa (BOD) 22-01, as agências do Poder Executivo Civil Federal (FCEB) são recomendadas a corrigir a falha identificada até 13 de fevereiro de 2025, para proteger suas redes contra ameaças ativas.

(A história foi atualizada após a publicação para incluir referências a relatórios destacando a exploração do CVE-2020-11023.)