В плагине jQuery Validation исправлена XSS-уязвимость

image

Теги: уязвимость, исправление, XSS-атака, плагин

Брешь затрагивает демо-версию кода CAPTCHA, но не сам плагин.

Член команды jQuery Йорн Цефферер (Jörn Zaefferer)  устранил уязвимость в разработанном им плагине jQuery Validation. Брешь, позволяющая осуществить атаку межсайтового скриптинга, была обнаружена голландским исследователем Сижменом Руфхофом (Sijmen Ruwhof) в демо-версии скрипта CAPTCHA три месяца назад.

Несмотря на то, что уязвимость затрагивает только демо-версию кода, но не сам плагин, исследователи решили раскрыть ее, поскольку многие разработчики устанавливают код вместе с плагином. Рувхоф  пояснил , что эта опасная брешь позволяет осуществлять отраженные XSS-атаки для похищения личности (в случае, если файлы cookie не защищены с помощью HttpOnly).

Отметим, что голландский эксперт оказался не первым, кто обнаружил уязвимость. Впервые сообщения о ней появились в июле 2011 года, а присутствует она в коде еще с 2007 года. По словам Рувхофа, ошибка была допущена не автором плагина jQuery Validation, а разработчиком кода CAPTCHA. Цефферер выпустил исправление в среду, 19 ноября.

Эксперты считают, что уязвимость затрагивает порядка 20 тысяч сайтов. Напомним, что плагин jQuery Validation предоставляет более простую форму валидации.

Подробнее ознакомиться с описанием уязвимости можно по адресу  http://www.securitylab.ru/vulnerability/462217.php    

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.