Sonatype的发现是这样的:
© 2019- 2019版权所有
使用此组件会使应用程序易受攻击。某些版本的jQuery(例如NuGet下载中的3.4.1)即使修复,也可能继续报告此漏洞,因为捆绑的jquery-... vsdoc.js变体仍然包含易受攻击的代码。在这种情况下,只有在生产应用程序中直接使用... -vsdoc.js文件时,您才容易受到攻击。
这个问题已经在jQuery 3.4.1中解决了。如何判断是否使用了“bundled-vsdoc.js”文件?在项目中没有任何地方引用它,我没有看到它包含在nuget包中,我在google上找到的唯一引用文件与jQuery的旧版本有关。
接下来的问题是,当使用最新版本的jQuery时,人们是如何进入易受攻击状态的?基本上,我试图找出如何明确证明这个漏洞不会影响我的程序。
1条答案
按热度按时间jdzmm42g1#
您可以通过卸载Nuget包从应用程序中删除jQuery。使用Nuget包引用,它将在包文件夹(“applicationrootfoler\packages\jQuery.x.x.x\Content\Scripts”)中查找jQuery下载,并且有vsdoc.js文件的引用。当在构建管道中进行构建时,这些包从packages.config引用。该漏洞是由vsdoc.js文件中的代码引起的。在将prototype漏洞修复应用于主jQuery文件时,这些文件未更新。
总之,不要使用jQuery作为Nuget下载包。下载jquery版本并使用它。