{"id":723,"date":"2025-01-25T15:03:11","date_gmt":"2025-01-25T15:03:11","guid":{"rendered":"https:\/\/oerlabs.com.br\/blog\/?p=723"},"modified":"2025-01-25T15:03:12","modified_gmt":"2025-01-25T15:03:12","slug":"cisa-adiciona-falha-jquery-xss-de-cinco-anos-a-lista-de-vulnerabilidades-exploradas","status":"publish","type":"post","link":"https:\/\/oerlabs.com.br\/blog\/2025\/01\/25\/cisa-adiciona-falha-jquery-xss-de-cinco-anos-a-lista-de-vulnerabilidades-exploradas\/","title":{"rendered":"CISA adiciona falha jQuery XSS de cinco anos \u00e0 lista de vulnerabilidades exploradas"},"content":{"rendered":"\n

A Ag\u00eancia de Seguran\u00e7a Cibern\u00e9tica e de Infraestrutura dos EUA (CISA) colocou<\/a> na quinta-feira uma falha de seguran\u00e7a, j\u00e1 corrigida, que afeta a popular biblioteca JavaScript jQuery em seu cat\u00e1logo de Vulnerabilidades Exploradas Conhecidas ( KEV<\/a> ), com base em evid\u00eancias de explora\u00e7\u00e3o ativa.<\/p>\n\n\n\n

A vulnerabilidade de gravidade m\u00e9dia \u00e9 CVE-2020-11023<\/a><\/strong> (pontua\u00e7\u00e3o CVSS: 6,1\/6,9), um bug de script entre sites (XSS) de quase cinco anos que pode ser explorado para obter execu\u00e7\u00e3o arbitr\u00e1ria de c\u00f3digo.<\/p>\n\n\n\n

“Passar HTML contendo elementos <option> de fontes n\u00e3o confi\u00e1veis \u200b\u200b\u2014 mesmo depois de higieniz\u00e1-los \u2014 para um dos m\u00e9todos de manipula\u00e7\u00e3o DOM do jQuery (ou seja, .html(), .append() e outros) pode executar c\u00f3digo n\u00e3o confi\u00e1vel”, de acordo com um aviso do GitHub<\/a> divulgado sobre a falha.<\/p>\n\n\n\n

O problema foi resolvido<\/a> na vers\u00e3o 3.5.0 do jQuery lan\u00e7ada em abril de 2020. Uma solu\u00e7\u00e3o alternativa para o CVE-2020-11023 envolve usar DOMPurify<\/a> com o sinalizador SAFE_FOR_JQUERY<\/a> definido para higienizar a string HTML antes de pass\u00e1-la para um m\u00e9todo jQuery.<\/p>\n\n\n\n

Como \u00e9 tipicamente o caso, o aviso da CISA \u00e9 enxuto em detalhes sobre a natureza espec\u00edfica da explora\u00e7\u00e3o e a identidade dos atores da amea\u00e7a que est\u00e3o armando a falha. Nem h\u00e1 relat\u00f3rios p\u00fablicos recentes relacionados a ataques que alavancam a falha em quest\u00e3o.<\/p>\n\n\n\n

Dito isso, h\u00e1 relatos de que a vulnerabilidade foi explorada por agentes de amea\u00e7as como APT1 (tamb\u00e9m conhecido como Brown Fox e Comment Panda) e APT27<\/a> (tamb\u00e9m conhecido como Brown Worm e Emissary Panda), segundo relat\u00f3rios da Health-ISAC<\/a> e da Tenable<\/a> .<\/p>\n\n\n\n

A empresa de seguran\u00e7a holandesa EclecticIQ tamb\u00e9m revelou<\/a> em fevereiro de 2024 que os endere\u00e7os de comando e controle (C2) associados a uma campanha maliciosa<\/a> que explorava falhas de seguran\u00e7a em dispositivos Ivanti executavam uma vers\u00e3o do JQuery que era suscet\u00edvel a pelo menos uma das tr\u00eas falhas, CVE-2020-11023, CVE-2020-11022<\/a> e CVE-2019-11358<\/a> .<\/p>\n\n\n\n

De acordo com a Diretiva Operacional Vinculativa (BOD) 22-01, as ag\u00eancias do Poder Executivo Civil Federal (FCEB) s\u00e3o recomendadas a corrigir a falha identificada at\u00e9 13 de fevereiro de 2025, para proteger suas redes contra amea\u00e7as ativas.<\/p>\n\n\n\n

(A hist\u00f3ria foi atualizada ap\u00f3s a publica\u00e7\u00e3o para incluir refer\u00eancias a relat\u00f3rios destacando a explora\u00e7\u00e3o do CVE-2020-11023.)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

A Ag\u00eancia de Seguran\u00e7a Cibern\u00e9tica e de Infraestrutura dos EUA (CISA) colocou na quinta-feira uma falha de seguran\u00e7a, j\u00e1 corrigida, que afeta a popular biblioteca JavaScript jQuery em seu cat\u00e1logo de Vulnerabilidades Exploradas Conhecidas ( KEV ), com base em evid\u00eancias de explora\u00e7\u00e3o ativa. A vulnerabilidade de gravidade m\u00e9dia \u00e9 CVE-2020-11023 (pontua\u00e7\u00e3o CVSS: 6,1\/6,9), um bug de script entre sites (XSS) […]<\/p>\n","protected":false},"author":1,"featured_media":724,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","sfsi_plus_gutenberg_text_before_share":"","sfsi_plus_gutenberg_show_text_before_share":"","sfsi_plus_gutenberg_icon_type":"","sfsi_plus_gutenberg_icon_alignemt":"","sfsi_plus_gutenburg_max_per_row":"","footnotes":""},"categories":[5,1],"tags":[],"class_list":["post-723","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-desenvolvimento","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/723","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/comments?post=723"}],"version-history":[{"count":1,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/723\/revisions"}],"predecessor-version":[{"id":725,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/723\/revisions\/725"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media\/724"}],"wp:attachment":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media?parent=723"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/categories?post=723"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/tags?post=723"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}