Multiples vulnérabilités dans les produits F5
Date de publication :
De multiples vulnérabilités ont été découvertes dans BIG-IP, BIG-IQ et Traffix SDC, produits distribués par F5. Les vulnérabilités sont dues à la bibliothèque JQuery et permettent l'exécution de code HTML ou Javascript (XSS).
CVE-2020-11022 [Score CVSS v3 : 6,1] : Une vulnérabilité de type Cross-site scripting (XSS) existe dans JQuery. Elle est due à une neutralisation inefficace des données entrantes provenant d'une source non sûre et peut permettre à un attaquant d'injecter son propre code Javascript dans des pages HTML manipulées par JQuery.
CVE-2020-11023[Score CVSS v3 : 6,1] : Une neutralisation inefficace des données entrantes provenant d'une source non sûre permet à un attaquant d’injecter son propre code HTML dans des pages HTML manipulées par JQuery.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code HTML
- Attaque XSS
Criticité
- Score CVSS v3 : 6,1
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
- Les versions de jQuery supérieures ou égales à 1.0.3 et antérieures à 3.5.0
CVE
- CVE-2020-11022
- CVE-2020-11023
Solutions ou recommandations
Mise en place de correctifs de sécurité
Ce problème est corrigé dans jQuery 3.5.0
Solution de contournement
Aucune solution de contournement n’est disponible