nvd
Jqueryui
Уязвимости
7
Эксплуатируемые
0
Критический
0
Высокий
0
Топ продуктов
Топ уязвимостей
CVE-2021-41184jQuery-UI является официальной библиотекой пользовательского интерфейса jQuery. До версии 1.13.0 принятие значения параметра `of` утилиты `.position()` из ненадежных источников может выполнять ненадежный код. Эта проблема исправлена в jQuery UI 1.13.0. Любая строка, переданная параметру `of`, теперь обрабатывается как CSS-селектор. Обходной путь — не принимать значение параметра `of` из ненадежных источников.
CVE-2021-41183jQuery-UI является официальной библиотекой пользовательского интерфейса jQuery. До версии 1.13.0 принятие значений различных параметров `*Text` виджета Datepicker из ненадежных источников может выполнять ненадежный код. Эта проблема исправлена в jQuery UI 1.13.0. Значения, переданные различным параметрам `*Text`, теперь всегда обрабатываются как чистый текст, а не HTML. Обходной путь — не принимать значение параметров `*Text` из ненадежных источников.
CVE-2021-41182jQuery-UI — это официальная библиотека пользовательского интерфейса jQuery. До версии 1.13.0 принятие значения параметра `altField` виджета Datepicker из ненадежных источников может выполнять ненадежный код. Эта проблема исправлена в jQuery UI 1.13.0. Любая строка, переданная параметру `altField`, теперь обрабатывается как CSS-селектор. Обходной путь — не принимать значение параметра `altField` из ненадежных источников.
CVE-2022-31160jQuery UI — это набор пользовательских интерфейсов, эффектов, виджетов и тем, построенных на основе jQuery. Версии до 1.13.2 потенциально уязвимы для межсайтового скриптинга. Инициализация виджета checkboxradio на входе, заключенном в метку, приводит к тому, что содержимое родительской метки рассматривается как метка ввода. Вызов `.checkboxradio( "refresh" )` на таком виджете и начальный HTML, содержащий закодированные HTML-сущности, приведет к тому, что они будут ошибочно декодированы. Это может привести к потенциальному выполнению кода JavaScript. Ошибка была исправлена в jQuery UI 1.13.2. Чтобы устранить проблему, тот, кто может изменить начальный HTML, может обернуть все не-входное содержимое `label` в `span`.
CVE-2016-7103Межсайтовый скриптинг (XSS) в jQuery UI до версии 1.12.0 может позволить удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через параметр closeText функции dialog.
CVE-2010-5312Уязвимость межсайтового скриптинга (XSS) в jquery.ui.dialog.js в виджете Dialog в jQuery UI до версии 1.10.0 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через опцию title.
CVE-2012-6662Уязвимость межсайтового скриптинга (XSS) в опции содержимого по умолчанию в jquery.ui.tooltip.js в виджете Tooltip в jQuery UI до версии 1.10.0 позволяет удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через атрибут title, который неправильно обрабатывается в демонстрации автозаполнения комбинированного поля.