Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - БДУ ФСТЭК - BDU:2020-04949

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - ФСТЭК BDU:2020-04949
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

BDU:2020-04949

CVSS: 6.1
29.04.2020

Уязвимость библиотеки jQuery, существующая из-за недостаточной очистки предоставленных пользователем данных при передаче элементов lt;optiongt;, позволяющая нарушителю осуществлять межсайтовые сценарные атаки

Уязвимость библиотеки jQuery существует из-за недостаточной очистки предоставленных пользователем данных при передаче элементов <option> в методы DOM jQuery. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять межсайтовые сценарные атаки
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 29.04.2020
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Существует в открытом доступе
Способ эксплуатации: Инъекция
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций:
Для jQuery:
https://blog.jquery.com/2020/04/10/jquery-3-5-0-released/
https://jquery.com/upgrade-guide/3.5/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AVKYXLWCLZBV2N7M46KYK4LVA5OXWPBY/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QPN2L2XVQGUA2V5HNQJWHK3APSK3VN7K/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SAPQVX3XDNPGFT26QAQ6AJIXZZBZ4CD4/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SFP4UK4EGP4AFH2MWYJ5A5Z4I7XVFQ6B/

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00067.html
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00085.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-11023

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-11023

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Для Moxa:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-244707-oncell-3120-lte-1-series-multiple-jquery-vulnerabilities

Для Astra Linux:
Использование рекомендаций производителя
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=47416144
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:
Обновление программного обеспечения jquery до версии 3.3.1~dfsg-3+deb10u1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения jquery до версии 3.1.1-2+deb9u2

Для ОС РОСА "КОБАЛЬТ": https://abf.rosa.ru/advisories/ROSA-SA-2025-2760

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-79 CWE-79 Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting')

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2020-11023 Potential XSS vulnerability in jQuery

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
6.4 MEDIUM 2.0 AV:N/AC:M/Au:N/C:P/I:P/A:N
6.1 MEDIUM 3.0 AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2020-11023
Вендор:
  • Oracle Corp.
  • Red Hat Inc.
  • Сообщество свободного программного обеспечения
  • ООО «РусБИТех-Астра»
  • Novell Inc.
  • Fedora Project
  • The jQuery Foundation
  • АО "НППКТ"
  • АО «НТЦ ИТ РОСА»
  • АО «Концерн ВНИИНС»
  • Moxa Inc.
Тип ПО:
  • СУБД
  • Операционная система
  • Сетевое программное средство
  • ПО виртуализации/ПО виртуального программно-аппаратного средства
  • Программное средство защиты
  • Прикладное ПО информационных систем
  • ПО программно-аппаратного средства
  • ПО сетевого программно-аппаратного средства
Наименование ПО:
  • Database
  • Red Hat Enterprise Linux
  • Debian GNU/Linux
  • WebLogic Server
  • Astra Linux Special Edition
  • Red Hat Virtualization
  • WebCenter Sites
  • Astra Linux Common Edition
  • OpenSUSE Leap
  • OpenShift Container Platform
  • Jboss Fuse
  • Application Testing Suite
  • Fedora
  • Red Hat Ceph Storage
  • Red Hat Software Collections
  • Red Hat Single Sign-On
  • Astra Linux Special Edition для «Эльбрус»
  • PeopleSoft Enterprise HCM Human Resources
  • Oracle Hospitality Materials Control
  • Oracle Healthcare Translational Research
  • Red Hat Storage
  • Oracle Communications Session Route Manager
  • Primavera Gateway
  • CloudForms Management Engine
  • Ansible Tower
  • Red Hat OpenStack Platform
  • Hyperion Financial Management
  • Openshift Service Mesh
  • Communications Billing and Revenue Management
  • Red Hat Virtualization Engine
  • jQuery
  • Oracle Banking Enterprise Collections
  • Communications WebRTC Session Controller
  • Enterprise Session Border Controller
  • Oracle Hospitality Simphony
  • A-MQ Interconnect
  • StorageTek Tape Analytics SW Tool
  • JD Edwards EnterpriseOne Orchestrator
  • JD Edwards EnterpriseOne Tools
  • Oracle Agile Product Lifecycle Management for Process
  • Transportation Management
  • Siebel Mobile Applications
  • ОСОН ОСнова Оnyx
  • РОСА Кобальт
  • ОС ОН «Стрелец»
  • OnCell 3120-LTE-1
Версия ПО:
  • 11.2.0.4 (Database)
  • 12.1.0.1 (Database)
  • 12.1.0.2 (Database)
  • 7 (Red Hat Enterprise Linux)
  • 9 (Debian GNU/Linux)
  • 12.1.3.0.0 (WebLogic Server)
  • 18c (Database)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 4 (Red Hat Virtualization)
  • 12.2.1.3.0 (WebLogic Server)
  • 12.2.1.3.0 (WebCenter Sites)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 8 (Red Hat Enterprise Linux)
  • 15.1 (OpenSUSE Leap)
  • 19c (Database)
  • 3.11 (OpenShift Container Platform)
  • 7 (Jboss Fuse)
  • 13.3.0.1 (Application Testing Suite)
  • 10 (Debian GNU/Linux)
  • 31 (Fedora)
  • 3 (Red Hat Ceph Storage)
  • - (Red Hat Software Collections)
  • 7 (Red Hat Single Sign-On)
  • 12.2.1.4.0 (WebLogic Server)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 9.2 (PeopleSoft Enterprise HCM Human Resources)
  • 18.1 (Oracle Hospitality Materials Control)
  • 3.2.1 (Oracle Healthcare Translational Research)
  • 3.3.1 (Oracle Healthcare Translational Research)
  • 32 (Fedora)
  • 3 (Red Hat Storage)
  • 8.1.1 (Oracle Communications Session Route Manager)
  • 8.2.0 (Oracle Communications Session Route Manager)
  • от 16.2.0 до 16.2.11 включительно (Primavera Gateway)
  • 4 (OpenShift Container Platform)
  • 5 (CloudForms Management Engine)
  • 3 (Ansible Tower)
  • 16 (Train) (Red Hat OpenStack Platform)
  • 11.1.2.4 (Hyperion Financial Management)
  • 15.2 (OpenSUSE Leap)
  • 1.1 (Openshift Service Mesh)
  • 4 (Red Hat Ceph Storage)
  • 8.2.1 (Oracle Communications Session Route Manager)
  • 14.1.1.0.0 (WebLogic Server)
  • от 17.12.0 до 17.12.7 включительно (Primavera Gateway)
  • от 18.8.0 до 18.8.9 включительно (Primavera Gateway)
  • от 19.12.0 до 19.12.4 включительно (Primavera Gateway)
  • 7.5.0.23.0 (Communications Billing and Revenue Management)
  • 12.0.0.3.0 (Communications Billing and Revenue Management)
  • 12.2.1.4.0 (WebCenter Sites)
  • 4.4 (Red Hat Virtualization Engine)
  • до 20.2 (Database)
  • от 1.0.3 до 3.5.0 (jQuery)
  • 33 (Fedora)
  • от 2.7.0 до 2.8.0 включительно (Oracle Banking Enterprise Collections)
  • 3.3.2 (Oracle Healthcare Translational Research)
  • 3.4.0 (Oracle Healthcare Translational Research)
  • 7.2 (Communications WebRTC Session Controller)
  • 8.4 (Enterprise Session Border Controller)
  • 18.1 (Oracle Hospitality Simphony)
  • 18.2 (Oracle Hospitality Simphony)
  • от 19.1.0 до 19.1.2 включительно (Oracle Hospitality Simphony)
  • 1.y for RHEL 6 (A-MQ Interconnect)
  • 1.y for RHEL 7 (A-MQ Interconnect)
  • 1.y for RHEL 8 (A-MQ Interconnect)
  • 4.5 (OpenShift Container Platform)
  • 2.3.1 (StorageTek Tape Analytics SW Tool)
  • до 9.2.5.0 (JD Edwards EnterpriseOne Orchestrator)
  • до 9.2.5.0 (JD Edwards EnterpriseOne Tools)
  • 6.1 (Oracle Agile Product Lifecycle Management for Process)
  • 1.4.3 (Transportation Management)
  • до 20.12 включительно (Siebel Mobile Applications)
  • 1.7 (Astra Linux Special Edition)
  • 4.7 (Astra Linux Special Edition)
  • до 2.1 (ОСОН ОСнова Оnyx)
  • 7.9 (РОСА Кобальт)
  • до 16.01.2023 (ОС ОН «Стрелец»)
  • до 2.3 включительно (OnCell 3120-LTE-1)
ОС и аппаратные платформы:
  • Red Hat Enterprise Linux (7)
  • Debian GNU/Linux (9)
  • Astra Linux Special Edition (1.6 «Смоленск»)
  • Debian GNU/Linux (8.0)
  • Astra Linux Common Edition (2.12 «Орёл»)
  • Red Hat Enterprise Linux (8)
  • OpenSUSE Leap (15.1)
  • Debian GNU/Linux (10)
  • Fedora (31)
  • Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)
  • Fedora (32)
  • OpenSUSE Leap (15.2)
  • Fedora (33)
  • Astra Linux Special Edition (1.7)
  • Astra Linux Special Edition (4.7)
  • РОСА Кобальт (7.9)
  • ОС ОН «Стрелец» (до 16.01.2023)
Ссылки на источники:
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.