Jquery
Уязвимости
12
Эксплуатируемые
1
Макс. CVSS
7.5
Макс. EPSS
0.99019
Распределение по критичности
Критический
0
Высокий
1
Средний
11
Низкий
0
Также сопоставлено как (исходные строки): jquery
Топ уязвимостей
CVE-2016-10707jQuery 3.0.0-rc.1 уязвим для отказа в обслуживании (DoS) из-за удаления логики, которая приводила имена атрибутов к нижнему регистру. Любой геттер атрибутов, использующий имя в смешанном регистре для логических атрибутов, переходит в бесконечную рекурсию, превышая предел вызовов стека.
CVE-2012-6708jQuery до версии 1.9.0 уязвим для атак межсайтового скриптинга (XSS). Функция jQuery(strInput) ненадежно различает селекторы и HTML. В уязвимых версиях jQuery определял, является ли ввод HTML, путем поиска символа '\u003c' в любом месте строки, что давало злоумышленникам большую гибкость при попытке создать вредоносную нагрузку. В исправленных версиях jQuery считает ввод HTML только в том случае, если он явно начинается с символа '\u003c', ограничивая возможность эксплуатации только злоумышленниками, которые могут контролировать начало строки, что встречается гораздо реже.
CVE-2020-11023В версиях jQuery, равных или превышающих 1.0.3 и до 3.5.0, передача HTML, содержащего элементы <option> из ненадежных источников - даже после очистки - в один из методов манипуляции DOM jQuery (т.е. .html(), .append() и другие) может выполнить ненадежный код. Эта проблема исправлена в jQuery 3.5.0.
CVE-2020-11022В версиях jQuery, начиная с 1.2 и до 3.5.0, передача HTML из ненадежных источников, даже после его очистки, в один из методов манипулирования DOM jQuery (т. е. .html(), .append() и другие) может привести к выполнению ненадежного кода. Эта проблема устранена в jQuery 3.5.0.
CVE-2018-18405jQuery v2.2.2 допускает XSS через специально созданный атрибут onerror элемента IMG. ПРИМЕЧАНИЕ: сообщалось, что эта уязвимость является спам-записью.
CVE-2015-9251jQuery до версии 3.0.0 уязвим для атак межсайтового скриптинга (XSS), когда выполняется междоменный Ajax-запрос без параметра dataType, что приводит к выполнению ответов text/javascript.
CVE-2014-6071jQuery 1.4.2 позволяет удаленным злоумышленникам проводить атаки межсайтового скриптинга (XSS) через векторы, связанные с использованием метода text внутри after.
CVE-2019-11358jQuery до версии 3.4.0, используемый в Drupal, Backdrop CMS и других продуктах, неправильно обрабатывает jQuery.extend(true, {}, ...), поскольку Object.prototype загрязнен. Если несанированный исходный объект содержал перечисляемое свойство __proto__, он мог расширить собственный Object.prototype.
CVE-2020-7656jquery до версии 1.9.0 позволяет выполнять Cross-site Scripting атаки через метод load. Метод load не распознает и не удаляет HTML-теги "<script>", содержащие символ пробела, т.е.: "</script >", что приводит к выполнению заключенной логики скрипта.
CVE-2007-2379Фреймворк jQuery обменивается данными, используя нотацию объектов JavaScript (JSON) без связанной схемы защиты, что позволяет удаленным злоумышленникам получать данные через веб-страницу, которая извлекает данные через URL в атрибуте SRC элемента SCRIPT и захватывает данные с помощью другого кода JavaScript, также известного как "JavaScript Hijacking".
CVE-2011-4969Уязвимость межсайтового скриптинга (XSS) в jQuery до 1.6.3, при использовании location.hash для выбора элементов, позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через созданный тег.
CVE-2008-7220Неуказанная уязвимость в Prototype JavaScript framework (prototypejs) до версии 1.6.0.2 позволяет злоумышленникам осуществлять "межсайтовые ajax-запросы" через неизвестные векторы.