JQuery Validation lukker hul

Artiklen blev oprindeligt publiceret den 29/11/2014

Udvikleren af pluginnet JQuery Validation har lukket alvorligt sikkerhedshul af typen cross-site scripting.

Sårbarheden findes i de demo-filer, der følger med pluginnet. Sikkerhedsforsker Sijmen Ruwhof, der opdagede sårbarheden, har fundet frem til over 12.000 websider, der ser ud til at indeholde den sårbare kode.

Han anslår, at langt flere websteder kan være ramt.

Sårbarheden har øjensynlig været kendt i et år, uden at udvikleren har fjernet den. Men efter at Sijmen Ruwhof offentliggjorde den, blev fejlen rettet med en opdatering.

Fejlen findes i en fil, der demonstrerer en CAPTCHA-funktion (Completely Automated Public Turing test to tell Computers and Humans Apart).

Anbefaling
Brugere af JQuery Validation bør installere opdateringen eller slette mappen med demo-filer.

Links

• Cross-site scripting in millions of web sites, blogindlæg af Sijmen Ruwhof
• Demos: Fix XSS issue in CAPTCHA demo
• CAPTCHA rapture as 'thousands' affected by seven year-old bug, artikel fra The Register