Vulnerabilidad XSS en jQuery

27/05/2020
Catalogada como de severidad media, la vulnerabilidad afecta a varias versiones de jQuery.

Riesgo: Medio Medio
Sistemas afectados:

Las siguientes versiones de jQuery:

  • 1.0, 1.0.0, 1.0.1, 1.0.2, 1.0.3, 1.0.4;
  • 1.1, 1.1.0, 1.1.1, 1.1.2, 1.1.3, 1.1.3.1, 1.1.4;
  • 1.2, 1.2.0, 1.2.1, 1.2.2, 1.2.3, 1.2.4, 1.2.5, 1.2.6;
  • 1.3, 1.3.0, 1.3.1, 1.3.2;
  • 1.4, 1.4.0, 1.4.1, 1.4.2, 1.4.3, 1.4.4;
  • 1.5, 1.5.0, 1.5.1, 1.5.2;
  • 1.6, 1.6.0, 1.6.1, 1.6.2, 1.6.3, 1.6.4;
  • 1.7, 1.7.0, 1.7.1, 1.7.2;
  • 1.8.0, 1.8.1, 1.8.2 y 1.8.3.
Descripción:

Un atacante remoto no autenticado podría llevar a cabo ataques de scripts entre sitios web (conocidos como ataques XSS) cuando se utilizan las versiones de jQuery que se han visto afectadas por la vulnerabilidad, la cual no depura suficientemente los datos que proporciona el usuario en la función load().

El ataque podría derivar en diferentes consecuencias, como la filtración de información confidencial, descargas arbitrarias, modificación del sitio web,...

Referencias (CVE):
Solución:

Actualizar lo antes posible.

Sitio web oficial de jQuery.