jQuery 跨站脚本漏洞影响大量网站

jQuery 跨站脚本漏洞影响大量网站

Snyk 发布了 2019 年度的 JavaScript 框架安全状况报告（PDF），除了最流行的 JS 框架  Angular 和 React 外，报告还观察了其它三个流行 JS 前端框架 Vue.js、Bootstrap 和 jQuery 的安全漏洞。

jQuery 过去 12 个月的下载量超过了 1.2 亿次，是 Vue.js 的 4000 万次和 Bootstrap 的 7900 万次之和。Vue.js 发现了 4 个漏洞，都已经修复。

Bootstrap 发现了 7 个跨站脚本漏洞，3 个是在 2019 年披露的，无安全修正。jQuery 发现了 6 个影响所有版本的安全漏洞，4 个是中等危险级别的跨站脚本漏洞，1 个是中危 Prototype Pollution 漏洞，还有一个是低危拒绝服务漏洞。

jQuery 3.4.0 以上版本不受漏洞影响。jQuery 生态系统还发现了多个恶意的扩展包，其中包括 jquery.js、jquery-airload、github-jquery-widgets、 jquery-mobile、jquery-file-upload 和 jquery-colorbox，这些包过去一年的下载量从几百到几千不等。

linuxboy的RSS地址：https://www.linuxboy.net/rssFeed.aspx

本文永久更新链接地址：https://www.linuxboy.net/Linux/2019-11/161335.htm