Jquery
Уязвимости
14
Эксплуатируемые
1
Макс. CVSS
7.5
Макс. EPSS
0.99019
Распределение по критичности
Критический
0
Высокий
3
Средний
9
Низкий
0
Также сопоставлено как (исходные строки): jquery
Топ уязвимостей
CVE-2022-31147jQuery Validation Plugin (jquery-validation) предоставляет встроенную проверку для форм. Версии jquery-validation до 1.19.5 уязвимы для отказа в обслуживании из-за регулярного выражения (ReDoS), когда злоумышленник может предоставить произвольный ввод в метод url2. Это связано с неполным исправлением CVE-2021-43306. Пользователям следует обновиться до версии 1.19.5, чтобы получить исправление.
CVE-2021-43306Экспоненциальный ReDoS (Regular Expression Denial of Service) может быть вызван в npm-пакете jquery-validation, когда злоумышленник может предоставить произвольный ввод для метода url2.
CVE-2016-10707jQuery 3.0.0-rc.1 уязвим для отказа в обслуживании (DoS) из-за удаления логики, которая приводила имена атрибутов к нижнему регистру. Любой геттер атрибутов, использующий имя в смешанном регистре для логических атрибутов, переходит в бесконечную рекурсию, превышая предел вызовов стека.
CVE-2012-6708jQuery до версии 1.9.0 уязвим для атак межсайтового скриптинга (XSS). Функция jQuery(strInput) ненадежно различает селекторы и HTML. В уязвимых версиях jQuery определял, является ли ввод HTML, путем поиска символа '\u003c' в любом месте строки, что давало злоумышленникам большую гибкость при попытке создать вредоносную нагрузку. В исправленных версиях jQuery считает ввод HTML только в том случае, если он явно начинается с символа '\u003c', ограничивая возможность эксплуатации только злоумышленниками, которые могут контролировать начало строки, что встречается гораздо реже.
CVE-2020-23064В jQuery был обнаружен недостаток, где он уязвим для скриптов Cross-site, вызванный неправильной валидацией пользовательского ввода элементом "options". Этот недостаток позволяет удаленному злоумышленнику использовать специально созданный URL-адрес для выполнения сценария в веб-браузере жертвы в контексте безопасности хостинга после нажатия URL-адреса. Нападавший может использовать эту уязвимость, чтобы украсть учетные данные аутентификации жертвы на основе файлов cookie.
CVE-2020-11023В версиях jQuery, равных или превышающих 1.0.3 и до 3.5.0, передача HTML, содержащего элементы <option> из ненадежных источников - даже после очистки - в один из методов манипуляции DOM jQuery (т.е. .html(), .append() и другие) может выполнить ненадежный код. Эта проблема исправлена в jQuery 3.5.0.
CVE-2020-11022В версиях jQuery, начиная с 1.2 и до 3.5.0, передача HTML из ненадежных источников, даже после его очистки, в один из методов манипулирования DOM jQuery (т. е. .html(), .append() и другие) может привести к выполнению ненадежного кода. Эта проблема устранена в jQuery 3.5.0.
CVE-2018-18405jQuery v2.2.2 допускает XSS через специально созданный атрибут onerror элемента IMG. ПРИМЕЧАНИЕ: сообщалось, что эта уязвимость является спам-записью.
CVE-2015-9251jQuery до версии 3.0.0 уязвим для атак межсайтового скриптинга (XSS), когда выполняется междоменный Ajax-запрос без параметра dataType, что приводит к выполнению ответов text/javascript.
CVE-2014-6071jQuery 1.4.2 позволяет удаленным злоумышленникам проводить атаки межсайтового скриптинга (XSS) через векторы, связанные с использованием метода text внутри after.
CVE-2019-11358jQuery до версии 3.4.0, используемый в Drupal, Backdrop CMS и других продуктах, неправильно обрабатывает jQuery.extend(true, {}, ...), поскольку Object.prototype загрязнен. Если несанированный исходный объект содержал перечисляемое свойство __proto__, он мог расширить собственный Object.prototype.
CVE-2020-7656jquery до версии 1.9.0 позволяет выполнять Cross-site Scripting атаки через метод load. Метод load не распознает и не удаляет HTML-теги "<script>", содержащие символ пробела, т.е.: "</script >", что приводит к выполнению заключенной логики скрипта.
CVE-2019-5428ОТВЕТАЯ причина: НЕ ИСКЛЮЧАЙТЕ ЭТОТ НОМЕР КАНДИДАТА. Консультанты: CVE-2019-11358. Причина: Этот кандидат является дубликат CVE-2019-11358. Примечания: Все пользователи CVE должны ссылаться на CVE-2019-11358 вместо этого кандидата. Все ссылки и описания в этом кандидате были удалены, чтобы предотвратить случайное использование
CVE-2017-16011ОТВЕТАЯ причина: НЕ ИСКУССТВУТЬ ЭТОТ НОМЕР КАНДИДАТА. Консультации: CVE-2012-6708. Причина: Этот кандидат является дубликат CVE-2012-6708. Примечания: Все пользователи CVE должны ссылаться на CVE-2012-6708 вместо этого кандидата. Все ссылки и описания в этом кандидате были удалены, чтобы предотвратить случайное использование