Hlavní navigace

jQuery Mobile je při otevřeném přesměrování náchylné na XSS

Roman Bořánek

Výzkumník Eduardo Vela z Googlu objevil závažnou chybu ve webovém frameworku jQuery Mobile. Ta umožňuje provést XSS na všech stránkách s tímto frameworkem, které mají otevřené přesměrování. Chyba navíc nebude opravena, protože vývojáři vidí chybu v samotné možnosti přesměrování, nikoliv v úpravě samotného vstupu, a změna by mohla rozbít stávající instalace.

Jediným řešením tak zůstává vypnout otevřené přesměrování, které je považováno za poněkud kontroverzní praktiku, ale používá ho i řada velkých serverů včetně Googlu, Facebooku a dalších. Framework jQuery Mobile používá cca 150 tisíc stránek.

(Zdroj: Security Affairs)

Našli jste v článku chybu?