
Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) pada hari Kamis menempatkan cacat keamanan yang sekarang ditandingi yang berdampak pada perpustakaan JavaScript yang populer untuk katalog kerentanan yang diketahui (KEV) yang diketahui, berdasarkan bukti eksploitasi aktif.
Kerentanan medium-severitas adalah CVE-2020-11023 (Skor CVSS: 6.1/6.9), bug scripting lintas-situs (XSS) berusia hampir lima tahun yang dapat dieksploitasi untuk mencapai eksekusi kode sewenang-wenang.
“Melewati HTML yang berisi

Masalahnya ditangani dalam jQuery versi 3.5.0 yang dirilis pada bulan April 2020. Solusi untuk CVE-2020-11023 melibatkan penggunaan DOMPURIFY dengan bendera safe_for_jquery yang diatur untuk membersihkan string HTML sebelum meneruskannya ke metode jQuery.
Seperti yang biasanya terjadi, penasihat dari CISA bersandar pada detail tentang sifat spesifik eksploitasi dan identitas aktor ancaman yang mempersenjatai kekurangan. Juga tidak ada laporan publik yang terkait dengan serangan yang memanfaatkan cacat tersebut.
Yang mengatakan, perusahaan keamanan Belanda Eclecticiq mengungkapkan pada bulan Februari 2024 bahwa ikatan komando-dan-kontrol (C2) yang terkait dengan kampanye berbahaya yang mengeksploitasi kelemahan keamanan dalam peralatan Ivanti menjalankan versi jQuery yang rentan terhadap setidaknya satu dari tiga cacat, CVE-2020-11023, CVE-2020-11022, dan CVE-2019-11358.
Berdasarkan Binding Operational Directive (BOD) 22-01, lembaga Cabang Eksekutif Sipil Federal (FCEB) direkomendasikan untuk memulihkan cacat yang diidentifikasi pada 13 Februari 2025, untuk mengamankan jaringan mereka terhadap ancaman aktif.