jQuery CVE-2019-11358 原型污染漏洞分析和修复建议(min.js压缩文件)

最新推荐文章于 2024-06-14 07:22:17 发布

Lichee_Zz

最新推荐文章于 2024-06-14 07:22:17 发布

阅读量3.8k

点赞数

文章标签： js 漏洞修复 jQuery

本文链接：https://blog.csdn.net/Lichee_Zz/article/details/89540001

版权

jQuery CVE-2019-11358 原型污染漏洞分析和修复建议针对min.js压缩文件

问题描述
- jquery.js修复
- 压缩文件修复
其余压缩文件对照修改

问题描述

jQuery官方于日前发布安全预警通告，通报了漏洞编号为 CVE-2019-11358的原型污染漏洞。由攻击者控制的属性可被注入对象，之后或经由触发 JavaScript 异常引发拒绝服务，或篡改该应用程序源代码从而强制执行攻击者注入的代码路径。

jquery.js修复

本文来源于360安全客，原文地址：https://www.anquanke.com/post/id/177093

压缩文件修复

jquery_1.11.0\jquery.min.js
文件2，1552 - 2，1556：

// 2，1552 - 2，1556：
g!==d改为b!=="__proto__"&&g!==d

js\jquery.min.js
2，1554 - 2，1558：

// 2，1552 - 2，1556：
g!==d改为b!=="__proto__"&&g!==d

js\plugins\simditor\jquery.min.js
2，1554 - 2，1558：

// 2，1552 - 2，1556：
g!==d改为b!=="__proto__"&&g!==d

其余压缩文件对照修改

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Lichee_Zz

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
5
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

jQuery CVE-2019-11358原型污染漏洞分析和修复建议

weixin_30765475的博客

04-28

2418

一、安全通告 jQuery官方于日前发布安全预警通告，通报了漏洞编号为 CVE-2019-11358的原型污染漏洞。由攻击者控制的属性可被注入对象，之后或经由触发 JavaScript 异常引发拒绝服务，或篡改该应用程序源代码从而强制执行攻击者注入的代码路径。奇安信代码卫士将持续关注该漏洞进展，并第一时间为您更新该漏洞信息。二、文档信息文档名称jQuery CVE-2019-11...

CVE-2019-11708：针对Windows 64位版本的Firefox的完整漏洞利用链（CVE-2019-11708和CVE-2019-9810）

02-04

CVE-2019-11708和CVE-2019-9810的全链漏洞利用这是针对Windows 64位Firefox的完整的浏览器入侵漏洞利用链（CVE-2019-11708和CVE-2019-9810）。它使用CVE-2019-9810在内容流程以及父流程中获取代码执行，并使用CVE-...

5 条评论您还未登录，请先登录后发表或查看评论

JQuery跨站脚本漏洞

zeroc009的博客

02-28

2558

原理： jQuery中过滤用户输入数据所使用的正则表达式存在缺陷，可能导致 location.hash 跨站漏洞影响范围：版本低于1.7的jQuery过滤用户输入数据所使用的正则表达式存在缺陷，可能导致LOCATION.HASH跨站漏洞已测试成功版本： jquery-1.6.min.js，jquery-1.6.1.min.js，jquery-1.6.2.min.js jquery-1.5所有版本 jquery-1.4所有版本 jquery-1.3所有版本 jquery-1.2所有版本测试

安全扫描五项简介_cve-2015-9251，头条面试题

最新发布

Innocence_0的博客

06-14

596

!!!!!

jQuery 的“原型污染”安全漏洞

weixin_33946605的博客

04-22

450

百度智能云·域名服务，.com新用户首购仅需25元前两周发布的 jQuery 3.4.0 除了常规更新外，更...

Jquery-1.8.3中的BUG

wttyzy的专栏

02-02

4707

ie和firefox一直遇到这个问题 ---------------------------------------------------------------------------------- | typeError:elem.nodeName.toLowerCase is not a function | -------------------------------

跨站脚本攻击漏洞怎么修复_Drupal发布新版，修补jQuery与Symfony的跨站脚本攻击漏洞...

weixin_39851918的博客

12-16

452

开源内容管理框架Drupal对其Drupal 7、Drupal 8.5以及Drupal 8.6发布新建置版本，以修补JavaScript函式库jQuery和网页应用程式框架Symfony中跨站脚本攻击(Cross-Site Scripting，XSS)漏洞等其他问题，Drupal官方建议网站管理员立即更新。由于jQuery官方在4月中时发布新版jQuery 3.4.0，并于文件提到，之前版本存在跨...

jquery-ui.min.js

11-07

jqueryUi-181107亲测可用，对应jquery-ui.min.js文件。

jquery-1.8.3.min.js

04-20

包含了jquery-1.8.3.js和jquery-1.8.3.min.js两个不同的版本 jQuery1.8.3更新日志 IE8中的HTML相关Bug jQuery1.8.2在IE9中调用ajax失败的问题 jQuery1.7.1不能正确地设置IE7中克隆元素的tabindex属性压缩的JS文件包含非ASCII字符如果body样式设置为display:none，则$（'body'）。show（）无法工作在IE9中element.css（'filter'）返回不明确在Android 2.3.4的浏览器中，jQuery 1.8.1转场效果崩溃在iPad上缩放一个灯箱效果后，所有动画效果失效从1.3.2升级到1.8.2版本后，出现Uncaught TypeError错误在Chrome和Safari中，无法正确检测包含可编辑内容的DIV的焦点

jQuery-1.12.4.js和jQuery-1.8.3.min.js

11-20

jQuery-1.12.4.js和jQuery-1.8.3.min.js，适合开发人员在学习jquery时导入使用，使代码更加简洁。

05-08

Jackson官方github仓库发布安全issue，涉及漏洞CVE-2019-14361和CVE-2019-14439，均是针对CVE-2019-12384漏洞的绕过利用方式，当用户提交一个精心构造的恶意JSON数据到WEB服务器端时，可导致远程任意代码执行。...

jquery-min.js /jquery-1.8.3.min.js引入后报错

热门推荐

leo_pcx

03-28

2万+

项目中加入jquery-min.js /jquery-1.8.3.min.js文件后，就报红叉叉，看着就讨厌，原来项目就是用的这个文件都OK的。这样执行以下吧：报错的文件--右键---myeclipse---exclude From Validation ，这样执行以下报错就没有了。

jQuery框架漏洞全总结及开发建议

iokla

10-02

1万+

一、jQuery简介 jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码，做更多的事情。它封装JavaScript常用的功能代码，提供一种简便的JavaScript设计模式，优化HTML文档操作、事件处理、动画设计和Ajax交互。据一项调查报告，在对433,000个网站的分析中发现，77％的网站至少使用了一个具有已知安全漏洞的前端JavaScript库，而jQuery位列榜首，而且远远超过其他库。但事实上这些库有可用的不

Web安全-JQuery框架XSS漏洞浅析

道阻且长，行则将至。

01-23

1万+

文章目录框架简介漏洞简述漏洞检测漏洞复现漏洞分析漏洞复现修复建议新版漏洞漏洞复现漏洞原理修复方案漏洞验证框架简介 jQuery是一个快速、简洁的JavaScript框架，是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码，做更多的事情。它封装 JavaScript 常用的功能代码，提供一种简便的 JavaScript 设计模式，优化 HTML 文档操作、事件处理、动画设计和 Ajax 交互。据一项调查报告，在对 433000 个网站的分析中发现，77％的网站至少使用了一个具

jquery1.11源码学习——揭秘jquery内幕

jcto的专栏

07-28

1544

//使用jquery，我们拿到的就两种形式的对象，一种是$ 另一种是$("xx") //第一种容易知道 window.$={}时，就可以全局拿到$这个对象了。 //但是我会不知道拿到的$这个对象是什么干什么用？下面看這個结构 (function() { var jQuery = function() { }; window.jQuery = window.$ = jQuery;

jQuery版本升级踩坑大全

weixin_30879833的博客

02-14

972

背景 -------------------------------------------------------------------------------- jQuery想必各个web工程师都再熟悉不过了，不过现如今很多网站还采用了很古老的jQuery版本。其实如果早期版本使用不当，可能会有DOMXSS漏洞，非常建议升级到jQuery 1.9.x或以上版本。前段时间我就主导了这件事情...