Dojo
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.04545
Распределение по критичности
Критический
2
Высокий
1
Средний
8
Низкий
0
Затронутые диапазоны версий
< 1.14≤ 1.0≤ 1.1.1≤ 1.13.0≤ 1.4.1
Также сопоставлено как (исходные строки): struts,dojo
Топ уязвимостей
CVE-2010-2276Конфигурация по умолчанию процесса сборки в Dojo 0.4.x до версии 0.4.4, 1.0.x до версии 1.0.3, 1.1.x до версии 1.1.2, 1.2.x до версии 1.2.4, 1.3.x до версии 1.3.3 и 1.4.x до версии 1.4.2 имеет опции copyTests=true и mini=false, что облегчает удаленным злоумышленникам оказание неуказанного воздействия через запрос к (1) тесту или (2) демонстрационному компоненту.
CVE-2010-2272Неуказанная уязвимость в iframe_history.html в Dojo 0.4.x до версии 0.4.4 имеет неизвестное воздействие и удаленные векторы атаки.
CVE-2018-1000665Dojo Dojo Objective Harness (DOH) версии до версии 1.14 содержит уязвимость межсайтового скриптинга (XSS) в unit.html и testsDOH/_base/loader/i18n-exhaustive/i18n-test/unit.html и testsDOH/_base/i18nExhaustive.js в DOH, что может привести к атаке на жертву через ее браузер - доставка вредоносного ПО, кража HTTP-cookie, обход доверия CORS. Эта атака, по-видимому, может быть осуществлена путем заманивания жертв на веб-сайт, находящийся под контролем злоумышленника; уязвимость XSS на целевом домене незаметно используется без ведома жертвы. Эта уязвимость, по-видимому, была устранена в версии 1.14.
CVE-2018-6561dijit.Editor в Dojo Toolkit 1.13 позволяет XSS через атрибут onload элемента SVG.
CVE-2018-15494В Dojo Toolkit до версии 1.14 существует внедрение неэкранированной строки в dojox/Grid/DataGrid.
CVE-2015-5654Уязвимость межсайтового скриптинга (XSS) в Dojo Toolkit до версии 1.2 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы.
CVE-2010-2275Уязвимость межсайтового скриптинга (XSS) в dijit/tests/_testCommon.js в Dojo Toolkit SDK до версии 1.4.2 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр theme, как продемонстрировано атакой против dijit/tests/form/test_Button.html.
CVE-2010-2274Множественные уязвимости открытого перенаправления в Dojo 1.0.x до версии 1.0.3, 1.1.x до версии 1.1.2, 1.2.x до версии 1.2.4, 1.3.x до версии 1.3.3 и 1.4.x до версии 1.4.2 позволяют удаленным злоумышленникам перенаправлять пользователей на произвольные веб-сайты и проводить фишинговые атаки через неуказанные векторы, возможно, связанные с dojo/resources/iframe_history.html, dojox/av/FLAudio.js, dojox/av/FLVideo.js, dojox/av/resources/audio.swf, dojox/av/resources/video.swf, util/buildscripts/jslib/build.js, util/buildscripts/jslib/buildUtil.js и util/doh/runner.html.
CVE-2010-2273Множественные уязвимости межсайтового скриптинга (XSS) в Dojo 1.0.x до версии 1.0.3, 1.1.x до версии 1.1.2, 1.2.x до версии 1.2.4, 1.3.x до версии 1.3.3 и 1.4.x до версии 1.4.2 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы, возможно, связанные с dojo/resources/iframe_history.html, dojox/av/FLAudio.js, dojox/av/FLVideo.js, dojox/av/resources/audio.swf, dojox/av/resources/video.swf, util/buildscripts/jslib/build.js и util/buildscripts/jslib/buildUtil.js, как продемонстрировано параметрами (1) dojoUrl и (2) testUrl в util/doh/runner.html.
CVE-2008-6681Уязвимость межсайтового скриптинга (XSS) в dijit.Editor в Dojo до 1.1 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через XML-сущности в элементе TEXTAREA.
CVE-2007-6726Множественные уязвимости межсайтового скриптинга (XSS) в Dojo 0.4.1 и 0.4.2, используемых в Apache Struts и других продуктах, позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через неуказанные векторы, включающие (1) xip_client.html и (2) xip_server.html в src/io/.