Jquery
Уязвимости
11
Эксплуатируемые
1
Макс. CVSS
7.5
Макс. EPSS
0.99019
Распределение по критичности
Критический
0
Высокий
1
Средний
10
Низкий
0
Затронутые диапазоны версий
1.0.3–3.5.01.2–3.5.0< 1.9.0< 3.0.0< 3.4.0≤ 1.6.2
Также сопоставлено как (исходные строки): jquery
Топ уязвимостей
CVE-2016-10707jQuery 3.0.0-rc.1 уязвим для отказа в обслуживании (DoS) из-за удаления логики, которая приводила имена атрибутов к нижнему регистру. Любой геттер атрибутов, использующий имя в смешанном регистре для логических атрибутов, переходит в бесконечную рекурсию, превышая предел вызовов стека.
CVE-2012-6708jQuery до версии 1.9.0 уязвим для атак межсайтового скриптинга (XSS). Функция jQuery(strInput) ненадежно различает селекторы и HTML. В уязвимых версиях jQuery определял, является ли ввод HTML, путем поиска символа '\u003c' в любом месте строки, что давало злоумышленникам большую гибкость при попытке создать вредоносную нагрузку. В исправленных версиях jQuery считает ввод HTML только в том случае, если он явно начинается с символа '\u003c', ограничивая возможность эксплуатации только злоумышленниками, которые могут контролировать начало строки, что встречается гораздо реже.
CVE-2020-11023В версиях jQuery, равных или превышающих 1.0.3 и до 3.5.0, передача HTML, содержащего элементы <option> из ненадежных источников - даже после очистки - в один из методов манипуляции DOM jQuery (т.е. .html(), .append() и другие) может выполнить ненадежный код. Эта проблема исправлена в jQuery 3.5.0.
CVE-2020-11022В версиях jQuery, начиная с 1.2 и до 3.5.0, передача HTML из ненадежных источников, даже после его очистки, в один из методов манипулирования DOM jQuery (т. е. .html(), .append() и другие) может привести к выполнению ненадежного кода. Эта проблема устранена в jQuery 3.5.0.
CVE-2018-18405jQuery v2.2.2 допускает XSS через специально созданный атрибут onerror элемента IMG. ПРИМЕЧАНИЕ: сообщалось, что эта уязвимость является спам-записью.
CVE-2015-9251jQuery до версии 3.0.0 уязвим для атак межсайтового скриптинга (XSS), когда выполняется междоменный Ajax-запрос без параметра dataType, что приводит к выполнению ответов text/javascript.
CVE-2014-6071jQuery 1.4.2 позволяет удаленным злоумышленникам проводить атаки межсайтового скриптинга (XSS) через векторы, связанные с использованием метода text внутри after.
CVE-2019-11358jQuery до версии 3.4.0, используемый в Drupal, Backdrop CMS и других продуктах, неправильно обрабатывает jQuery.extend(true, {}, ...), поскольку Object.prototype загрязнен. Если несанированный исходный объект содержал перечисляемое свойство __proto__, он мог расширить собственный Object.prototype.
CVE-2020-7656jquery до версии 1.9.0 позволяет выполнять Cross-site Scripting атаки через метод load. Метод load не распознает и не удаляет HTML-теги "<script>", содержащие символ пробела, т.е.: "</script >", что приводит к выполнению заключенной логики скрипта.
CVE-2007-2379Фреймворк jQuery обменивается данными, используя нотацию объектов JavaScript (JSON) без связанной схемы защиты, что позволяет удаленным злоумышленникам получать данные через веб-страницу, которая извлекает данные через URL в атрибуте SRC элемента SCRIPT и захватывает данные с помощью другого кода JavaScript, также известного как "JavaScript Hijacking".
CVE-2011-4969Уязвимость межсайтового скриптинга (XSS) в jQuery до 1.6.3, при использовании location.hash для выбора элементов, позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через созданный тег.