CISA Adds Five-Year-Old jQuery XSS Flaw to Exploited Vulnerabilities List
2025/01/24 TheHackerNews — 2025年1月23日 に米国の CISA は、活発な悪用が確認される jQuery JavaScript の XSS 脆弱性 CVE-2020-11023 (CVSS:6.9) を、KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性は、約5年前に発見されたものであり、すでに修正されている。
GitHub のアドバイザリの説明によると、「jQuery の DOM 操作メソッド (.html()/.append() など) に、信頼できないソースから <option> 要素を含む HTML を渡すと、たとえサニタイズした後であっても、信頼できないコードが実行される可能性がある」という。
すでに脆弱性 CVE-2020-11023 は、2020年4月にリリースされた jQuery 3.5.0 で修正されている。この脆弱性に対する回避策としては、SAFE_FOR_JQUERY フラグを設定して DOMPurify を使用し、jQuery メソッドに渡す前に HTML 文字列をサニタイズするという方法がある。
この脆弱性の悪用に関する具体的な内容や、この脆弱性を悪用する攻撃者に関する詳細について、CISA のアドバイザリは記載していない。また、この脆弱性を悪用する攻撃に関する公開報告書も確認されていない。
しかし、2024年2月にオランダのセキュリティ企業 EclecticIQ が、重要な情報を明らかにしている。同社の調査によると、Ivanti アプライアンスの脆弱性を悪用する悪意のキャンペーンに関連する C2 (command-and-control) アドレスが、3つの脆弱性 (CVE-2020-11023/CVE-2020-11022/CVE-2019-11358) のうち、少なくとも1つの脆弱性を持つバージョンの jQuery を実行していたという。
拘束力のある運用指令 (BOD) 22-01:悪用された既知の脆弱性の重大なリスクの軽減するために、FCEB 機関は、カタログの欠陥を悪用する攻撃から、ネットワークを保護する必要がある。CISA は連邦政府機関に対して、2025年2月13日までに、この脆弱性を修正するよう命じている。
5年も前の jQuery の脆弱性 CVE-2020-11023 が、CISAの KEV に追加されました。脆弱性を悪用する側において、新たしい古いは関係ありません。jQuery のパッチ適用バージョンが提供されていますので、ご利用のチームは、ご確認ください。よろしければ、CISA KEV ページを、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.