КиберосноваSGRC
BDU:2019-04254
Средний

BDU:2019-04254: Уязвимость функции jQuery.extend (true, {}, ...) библиотеки jQuery, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации

CVSS v36.1
CVSS v25.8

Детали уязвимости BDU:2019-04254

Описание

Уязвимость функции jQuery.extend (true, {}, ...) библиотеки jQuery существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность и целостность защищаемой информации

Что делать с BDU:2019-04254

Уязвимость среднего уровня (CVSS 6.1) — устраните в рамках планового цикла обновлений. Рекомендуемый срок — 30 дней. Оцените применимость к вашей инфраструктуре через список затронутого ПО.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
6.1Средний
Пересчитать →
v2
5.8
Только просмотр
AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:NAV:N/AC:M/Au:N/C:P/I:P/A:N

CWE — тип уязвимости

CVE — международный идентификатор

CWE-79
Межсайтовый скриптинг (XSS)

Позволяет внедрить вредоносный JavaScript-код в веб-страницу, который выполнится в браузере жертвы. Приводит к краже cookies, перенаправлению, подмене контента.

Как атакуют и что делать ▾

Сценарий атаки

Злоумышленник внедряет JavaScript через форму поиска или URL-параметр. При открытии страницы жертвой скрипт выполняется в контексте её сессии.

Последствия

Кража cookies и токенов сессии, перенаправление на фишинг, подмена контента страницы.

Рекомендации

Экранируйте вывод (output encoding), настройте Content-Security-Policy заголовки, валидируйте ввод на сервере.

Тактики и техники

Инъекция

Уязвимое ПО (42)

ВендорНазваниеВерсияПлатформа
ООО «РусБИТех-Астра»Astra Linux Special Edition1.5 «Смоленск»Не указана
Oracle Corp.Retail Point-of-Service14.0Не указана
Oracle Corp.Retail Point-of-Service14.1Не указана
Oracle Corp.Business Process Management Suite12.2.1.3.0Не указана
Oracle Corp.BI Publisher12.2.1.3.0Не указана
Oracle Corp.Primavera Unifier16.2Не указана
Oracle Corp.Primavera Unifier16.1Не указана
The jQuery FoundationjQueryдо 3.4.0Не указана
Oracle Corp.BI Publisher12.2.1.4.0Не указана
Oracle Corp.Primavera Unifierот 17.7 до 17.12Не указана
Oracle Corp.Primavera Unifier18.8Не указана
Oracle Corp.Oracle Communications Session Route Manager8.1.1Не указана
Oracle Corp.Oracle Communications Session Route Manager8.2.0Не указана
Oracle Corp.Oracle Communications Session Route Manager8.2.1Не указана
Oracle Corp.PeopleSoft Enterprise FIN Expenses9.2Не указана
Oracle Corp.Business Process Management Suite12.2.1.4.0Не указана
Oracle Corp.Insurance Accounting Analyzerот 8.0.6 до 8.0.8 включительноНе указана
Oracle Corp.REST Data Services11.2.0.4Не указана
Oracle Corp.REST Data Services12.1.0.2Не указана
Oracle Corp.REST Data Services12.2.0.1Не указана
Oracle Corp.REST Data Services18cНе указана
Oracle Corp.REST Data Servicesдо 20.2.1 (Standalone)Не указана
Oracle Corp.Insurance Insbridge Rating and Underwritingот 5.0.0.0 до 5.6.0.0 включительноНе указана
Oracle Corp.Insurance Insbridge Rating and Underwriting5.6.1.0Не указана
Oracle Corp.BI Publisher5.5.0.0.0Не указана
Oracle Corp.REST Data Services19cНе указана
Oracle Corp.ORDS (jQuery)11.2.0.4Не указана
Oracle Corp.ORDS (jQuery)12.1.0.2Не указана
Oracle Corp.ORDS (jQuery)12.2.0.1Не указана
Oracle Corp.ORDS (jQuery)18cНе указана
Oracle Corp.ORDS (jQuery)19cНе указана
Oracle Corp.JD Edwards EnterpriseOne Toolsдо 9.2.5.0Не указана
Oracle Corp.Oracle Agile Product Lifecycle Management for Process6.1Не указана
Oracle Corp.Insurance Insbridge Rating and Underwriting5.0.0.20Не указана
Oracle Corp.Insurance Insbridge Rating and Underwriting5.1.1.03Не указана
Oracle Corp.Oracle Commerce Merchandising11.3.0Не указана
Oracle Corp.Oracle Commerce Merchandising11.3.1Не указана
Oracle Corp.Oracle Commerce Merchandising11.3.2Не указана
Oracle Corp.Siebel UI Frameworkдо 21.2 включительноНе указана
АО «ИВК»Альт 8 СП-Не указана
АО «Концерн ВНИИНС»ОС ОН «Стрелец»до 16.01.2023Не указана
Moxa Inc.OnCell 3120-LTE-1до 2.3 включительноНе указана

Среды функционирования (3)

ВендорНазваниеВерсияПлатформа
ООО «РусБИТех-Астра»Astra Linux Special Edition1.5 «Смоленск»Не указана
АО «ИВК»Альт 8 СП-Не указана
АО «Концерн ВНИИНС»ОС ОН «Стрелец»до 16.01.2023Не указана

Рекомендации по устранению

Обновление библиотеки jQuery доверсии 3.4.0 или новее Использование рекомендаций производителя для программных средств Oracle: https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html https://www.oracle.com/security-alerts/cpujul2020.html https://www.oracle.com/security-alerts/cpuoct2020.html https://www.oracle.com/security-alerts/cpujan2021.html https://www.oracle.com/security-alerts/cpuapr2021.html Для Moxa: https://www.moxa.com/en/support/product-support/security-advisory/mpsa-244707-oncell-3120-lte-1-series-multiple-jquery-vulnerabilities Для Astra Linux: Обновление программного обеспечения (пакета jquery) до 1.7.2+dfsg-3.2+deb8u7 или более поздней версии Для ОС ОН «Стрелец»: Обновление программного обеспечения mediawiki до версии 1:1.27.7-1+deb9u11 Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

SLA ФСТЭК №117

30 дней

по базовой оценке CVSS 6.1

Уточните SLA под вашу среду

Базовый балл 6.1 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Немедленно устранить

Эксплуатируется или вероятность крайне высока. Приоритет №1 — устраните в первую очередь.

EPSS — вероятность эксплуатации87.2%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2019-04-19

Опубликована

2019-11-25

Обновлена

2024-09-16

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

Сертификация ФСТЭК

Продукт сертифицирован ФСТЭК России — сертификат 2557 (действует).

Карточка сертификата в реестре СЗИ

Сертификация подтверждает соответствие требованиям по защите информации на момент выдачи и не гарантирует отсутствие уязвимостей.

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0