jQuery 跨站腳本漏洞影響大量網站


jQuery
 過去 12 個月的下載量超過了 1.2 億次,是 Vue.js 的 4000 萬次和 Bootstrap 的 7900 萬次之和。 Vue.js
 發現了 4 個漏洞,都已經修復。

snykchart.JPG

Bootstrap 發現了 7 個跨站腳本漏洞,3 個是在 2019 年披露的,無安全修正。 jQuery
發現了 6 個影響所有版本的安全漏洞,4 個是中等危險級別的跨站腳本漏洞,1 個是中危 Prototype Pollution
漏洞,還有一個是低危拒絕服務漏洞。

jQuery 3.4.0 以上版本不受漏洞影響。 jQuery 生態系統還發現了多個惡意的擴展包,其中包括
jquery.js、jquery-airload、github-jquery-widgets、
jquery-mobile、jquery-file-upload 和 jquery-colorbox,這些包過去一年的下載量從幾百到幾千不等。

.

Leave a Comment