Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2023-07871

CVSS: 6.5

04.05.2021

Уязвимость метода .position() библиотеки jQuery UI, позволяющая нарушителю выполнить произвольный код

Уязвимость метода .position() библиотеки jQuery UI связана с непринятием мер по защите структуры веб-страницы при обработке значений параметра of. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	04.05.2021
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Инъекция
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для jQuery-UI: https://blog.jqueryui.com/2021/10/jquery-ui-1-13-0-released/ https://github.com/jquery/jquery-ui/commit/effa323f1505f2ce7a324e4f429fa9032c72f280 https://github.com/jquery/jquery-ui/security/advisories/GHSA-gpqq-952q-5327 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HVKIOWSXL2RF2ULNAP7PHESYCFSZIJE3/ https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/NXIUUBRVLA4E7G7MMIKCEN75YN7UFERW/ https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/O74SXYY7RGXREQDQUDQD4BPJ4QQTD2XQ/ https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SGSY236PYSFYIEBRGDERLA7OSY6D7XL4/ https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SNXA7XRKGINWSUIPIZ6ZBCTV6N3KSHES/ Для Debian GNU/Linux: https://lists.debian.org/debian-lts-announce/2023/08/msg00040.html https://security-tracker.debian.org/tracker/CVE-2021-41184 Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuapr2022.html: https://www.oracle.com/security-alerts/cpujul2022.html Для Drupal: https://www.drupal.org/sa-core-2022-001 Для программных продуктов NetApp Inc: https://security.netapp.com/advisory/ntap-20211118-0004/ Для ОСОН ОСнова Оnyx: Обновление программного обеспечения jqueryui до версии 1.12.1+dfsg-5+deb10u1

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-79	Некорректная нейтрализация входных данных при генерировании веб-страниц (межсайтовое выполнение сценариев)

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2021-41184	XSS in the `of` option of the `.position()` util

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.8	HIGH	2.0	AV:N/AC:L/Au:N/C:N/I:C/A:N
6.5	MEDIUM	3.0	AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

Идентификаторы других систем описаний уязвимостей

CVE-2021-41184

Вендор:	Oracle Corp. Сообщество свободного программного обеспечения Fedora Project NetApp Inc. АО "НППКТ" The jQuery Foundation
Тип ПО:	Сетевое программное средство Операционная система Прикладное ПО информационных систем ПО программно-аппаратного средства АСУ ТП СУБД ПО сетевого программно-аппаратного средства Сетевое средство
Наименование ПО:	WebLogic Server Debian GNU/Linux Primavera Unifier Oracle Hospitality Materials Control Banking Platform Oracle Agile PLM Oracle Communications Interactive Session Recorder Fedora Hospitality Suite8 Oracle Communications Operations Monitor Oracle Hospitality Inventory Management NetApp HCI Baseboard Management Controller H410C NetApp HCI Baseboard Management Controller H300S NetApp HCI Baseboard Management Controller H500S NetApp HCI Baseboard Management Controller H700S NetApp HCI Baseboard Management Controller H410S JD Edwards EnterpriseOne Tools MySQL Enterprise Monitor Oracle Big Data Spatial and Graph Database Server ОСОН ОСнова Оnyx Oracle PeopleSoft Enterprise PeopleTools NetApp Cloud Backup (formerly AltaVault) jQuery UI REST Data Services Oracle Policy Automation Drupal SnapCenter
Версия ПО:	12.2.1.3.0 (WebLogic Server) 10 (Debian GNU/Linux) 18.8 (Primavera Unifier) 12.2.1.4.0 (WebLogic Server) 19.12 (Primavera Unifier) от 17.7 до 17.12 включительно (Primavera Unifier) 18.1 (Oracle Hospitality Materials Control) 2.9.0 (Banking Platform) 9.3.6 (Oracle Agile PLM) 14.1.1.0.0 (WebLogic Server) 6.4 (Oracle Communications Interactive Session Recorder) 33 (Fedora) 8.10.2 (Hospitality Suite8) от 8.11 до 8.14 включительно (Hospitality Suite8) 20.12 (Primavera Unifier) 4.3 (Oracle Communications Operations Monitor) 34 (Fedora) 9.1.0 (Oracle Hospitality Inventory Management) 11 (Debian GNU/Linux) 35 (Fedora) 36 (Fedora) 4.4 (Oracle Communications Operations Monitor) 5.0 (Oracle Communications Operations Monitor) - (NetApp HCI Baseboard Management Controller H410C) - (NetApp HCI Baseboard Management Controller H300S) - (NetApp HCI Baseboard Management Controller H500S) - (NetApp HCI Baseboard Management Controller H700S) - (NetApp HCI Baseboard Management Controller H410S) до 9.2.6.3 включительно (JD Edwards EnterpriseOne Tools) 21.12 (Primavera Unifier) до 8.0.29 включительно (MySQL Enterprise Monitor) до 23.1 (Oracle Big Data Spatial and Graph) до 22.1.1 (Database Server) до 2.7 (ОСОН ОСнова Оnyx) 8.58 (Oracle PeopleSoft Enterprise PeopleTools) - (NetApp Cloud Backup (formerly AltaVault)) до 1.13.0 (jQuery UI) до 22.1.1 (REST Data Services) 2.12.0 (Banking Platform) от 12.2.0 до 12.2.25 включительно (Oracle Policy Automation) 8.59 (Oracle PeopleSoft Enterprise PeopleTools) от 7.0 до 7.86 (Drupal) от 8.0.0 до 9.2.11 (Drupal) от 9.3.0 до 9.3.3 (Drupal) до 4.7 (SnapCenter)
ОС и аппаратные платформы:	Debian GNU/Linux (10) Fedora (33) Fedora (34) Debian GNU/Linux (11) Fedora (35) Fedora (36) ОСОН ОСнова Оnyx (до 2.7)
Ссылки на источники:	https://blog.jqueryui.com/2021/10/jquery-ui-1-13-0-released/ https://github.com/jquery/jquery-ui/commit/effa323f1505f2ce7a324e4f429fa9032c72f280 https://github.com/jquery/jquery-ui/security/advisories/GHSA-gpqq-952q-5327 https://lists.debian.org/debian-lts-announce/2023/08/msg00040.html https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HVKIOWSXL2RF2ULNAP7PHES... https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/NXIUUBRVLA4E7G7MMIKCEN7... https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/O74SXYY7RGXREQDQUDQD4BP... https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SGSY236PYSFYIEBRGDERLA7... https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SNXA7XRKGINWSUIPIZ6ZBCT... https://security.netapp.com/advisory/ntap-20211118-0004/ https://www.drupal.org/sa-core-2022-001 https://www.oracle.com/security-alerts/cpuapr2022.html https://www.oracle.com/security-alerts/cpujul2022.html https://www.tenable.com/security/tns-2022-09 https://security-tracker.debian.org/tracker/CVE-2021-41184 https://api.jquery.com/position/ https://vuldb.com/ru/?id.211678 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2023-07871