izumi-nkc
commented
1 year ago @b169d127 横から失礼します。 Exmentのjquery.validate.jsのバージョンは 1.19.3 で、以下の脆弱性に対応済のバージョンが使用されていますが、別の脆弱性ですか? https://jvndb.jvn.jp/ja/contents/2021/JVNDB-2021-002554.html
Closed b169d127 closed 1 year ago
izumi-nkc
commented
1 year ago @b169d127 横から失礼します。 Exmentのjquery.validate.jsのバージョンは 1.19.3 で、以下の脆弱性に対応済のバージョンが使用されていますが、別の脆弱性ですか? https://jvndb.jvn.jp/ja/contents/2021/JVNDB-2021-002554.html
b169d127
commented
1 year ago ちょっとまとめてみました。 こんな感じです。 CVE-2021-41182 https://nvd.nist.gov/vuln/detail/CVE-2021-41182 信頼できないソースから Datepicker ウィジェットの 'altField' オプションの値を受け入れると、コードが実行される脆弱性
CVE-2021-41183 https://nvd.nist.gov/vuln/detail/CVE-2021-41183 信頼できないソースから Datepicker ウィジェットのさまざまな '*Text' オプションの値を受け入れると、コードが実行される脆弱性
CVE-2021-41184 https://nvd.nist.gov/vuln/detail/CVE-2021-41184 信頼できないソースから '.position()' util の 'of' オプションの値を受け入れると、コードが実行される脆弱性
CVE-2022-31147 https://nvd.nist.gov/vuln/detail/CVE-2022-31147 url2メソッドに任意の入力可能な場合にReDoS(正規表現のサービス拒否)の脆弱性
CVE-2021-43306 https://nvd.nist.gov/vuln/detail/CVE-2021-43306 url2メソッドに任意の入力可能な場合に指数関数的なReDoS(正規表現サービス拒否)がjquery検証npmパッケージでトリガーされる可能性
起案したのがかなり前なので 最新の5.0.4?ではすでに対応されているかもしれませんがそこまでまだチェックが至っておりません
izumi-nkc
commented
1 year ago @b169d127 丁寧な回答ありがとうございます。 とても参考になりました。
stale[bot]
commented
1 year ago This issue has been automatically marked as stale because it has not had recent activity. It will be closed if no further activity occurs. Thank you for your contributions.
Additional context / その他
バグ等ではありませんが最新バージョンの5.0.4でも利用されているJavaScriptライブラリについて以下の状態となっております。 jQuery-2.1.4.min.js サポートが終了したJavaScriptライブラリの使用されている bootstrap.min.js サポートが終了したJavaScriptライブラリの使用されている jquery-ui.min.js 脆弱なバージョンのJavaScriptライブラリの使用されている jquery.validate.js 脆弱なバージョンのJavaScriptライブラリの使用されている
クローズドな環境では問題ないかと思いますが、XSS等のリスクもあるため 次回のアップデート時に最新のライブラリに更新いただけますとより安心して利用できるかと思います。