La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) colocó el jueves una falla de seguridad, ahora parcheada, que afecta a la popular biblioteca JavaScript jQuery en su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), basándose en evidencia de explotación activa.
La vulnerabilidad de gravedad media es CVE-2020-11023 (puntaje CVSS: 6.1/6.9), un error de secuencias de comandos entre sitios (XSS) de casi cinco años de antigüedad que podría explotarse para lograr la ejecución de código arbitrario.
«Pasar HTML que contenga elementos de fuentes no confiables, incluso después de desinfectarlos, a uno de los métodos de manipulación DOM de jQuery (es decir, .html(), .append() y otros) puede ejecutar código no confiable», según un aviso de GitHub publicado para la falla.
El problema se solucionó en la versión 3.5.0 de jQuery publicada en abril de 2020. Una solución alternativa para CVE-2020-11023 implica usar DOMPurify con el indicador SAFE_FOR_JQUERY configurado para desinfectar la cadena HTML antes de pasarla a un método jQuery.
Como suele ser habitual, el aviso de la CISA no aporta muchos detalles sobre la naturaleza específica de la explotación ni sobre la identidad de los actores amenazantes que utilizan la falla como arma. Tampoco hay informes públicos relacionados con ataques que aprovechen la falla en cuestión.
Dicho esto, la empresa de seguridad holandesa EclecticIQ reveló en febrero de 2024 que las direcciones de comando y control (C2) asociadas con una campaña maliciosa que explotaba fallas de seguridad en los dispositivos Ivanti ejecutaban una versión de JQuery que era susceptible a al menos una de las tres fallas, CVE-2020-11023, CVE-2020-11022 y CVE-2019-11358 .
De conformidad con la Directiva Operacional Vinculante (BOD) 22-01, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que remedien la falla identificada antes del 13 de febrero de 2025, para proteger sus redes contra amenazas activas.
Fuente y redacción: thehackernews.com