Bootstrap патчи XSS Уязвимость в версиях 4.3.1 и 3.4.1

Bootstrap выпустила версии 4.3.1 и 3.4.1 для исправления уязвимости XSS (CVE-2019-8331), о чем разработчик сообщил проектBootstrap Drupal, а затем ответственно раскрыта команде разработчиков Bootstrap. Уязвимость конкретно влияет на использование инструментария и функции popover:

Ранее на этой неделе разработчик сообщил о проблеме XSS, аналогичной уязвимости целевой передачи данных, которая была зафиксирована в v4.1.2 и v3.4.0: атрибут шаблона данных для нашего инструментария и плагинов Popover не хватало надлежащей дезинфекции XSS HTML, которые могут быть переданы в значение атрибута.

Исправление включает в себя новый дезинфицирующее средство JavaScript, которое позволяет только в белом списке HTML элементов в атрибут еде данных. Разработчики могут изменить реализацию системы дезинфекции Bootstrap или настроить свою собственную функцию. В дополнение к исправлению уязвимости, Bootstrap опубликовал новую документацию дезинфицирующего средства для версий 4.3 и 3.4.

По данным BuiltWith,Bootstrap используется примерно 16% интернета. Он также широко используется в WordPress плагины и темы. Существуют сотни объявлений в WordPress.org Plugin каталог, которые реализуют Bootstrap в той или иной форме. Многие из них не обновлялись в течение нескольких месяцев или даже дольше, чем год. Трудно сказать, какие из них могут быть затронуты этой уязвимости, так как это зависит от того, как плагин автор реализовал Bootstrap и, в некоторых случаях, что пользователи решили выйти на передний план. Если у вас есть плагин или тема, которая использует Bootstrap, это может быть стоит войти в контакт с автором, чтобы увидеть, если обновление безопасности будет необходимо.

Хотите написать для WP таверне? Мы всегда принимаем гостевые сообщения от сообщества и ищем новых участников. Свяжитесь с нами и давайте обсудим ваши идеи.

 

Оригинал: wptavern.com

Добавить комментарий

%d такие блоггеры, как: