Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en passing HTML contiene elementos de fuentes no seguras (CVE-2020-11023)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
29/04/2020
Última modificación:
04/04/2025

Descripción

En jQuery versiones mayores o iguales a 1.0.3 y anteriores a la versión 3.5.0, passing HTML contiene elementos de fuentes no seguras – incluso después de sanearlo – para uno de los métodos de manipulación de jQuery ´s DOM ( i.e. html t(), adjunto (), y otros ) podrían ejecutar códigos no seguros. Este problema está corregido en JQuery 3.5.0.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:jquery:jquery:*:*:*:*:*:*:*:* 1.0.3 (incluyendo) 3.5.0 (excluyendo)
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:*
cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:* 7.0 (incluyendo) 7.70 (excluyendo)
cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:* 8.7.0 (incluyendo) 8.7.14 (excluyendo)
cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:* 8.8.0 (incluyendo) 8.8.6 (excluyendo)
cpe:2.3:a:oracle:application_express:*:*:*:*:*:*:*:* 20.2 (excluyendo)
cpe:2.3:a:oracle:application_testing_suite:13.3.0.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:banking_enterprise_collections:*:*:*:*:*:*:*:* 2.7.0 (incluyendo) 2.8.0 (incluyendo)
cpe:2.3:a:oracle:banking_platform:*:*:*:*:*:*:*:* 2.4.0 (incluyendo) 2.10.0 (incluyendo)
cpe:2.3:a:oracle:blockchain_platform:*:*:*:*:*:*:*:* 21.1.2 (excluyendo)
cpe:2.3:a:oracle:blockchain_platform:21.1.2:*:*:*:*:*:*:*
cpe:2.3:a:oracle:business_intelligence:5.9.0.0.0:*:*:*:enterprise:*:*:*


Referencias a soluciones, herramientas e información