Bootstrap исправляет уязвимость XSS в версиях 4.3.1 и 3.4.1

Bootstrap выпустил версии 4.3.1 и 3.4.1 для исправления уязвимости XSS (CVE-2019-8331), о которой разработчик сообщил проекту Bootstrap Drupal , а затем ответственно передал группе разработчиков Bootstrap. Уязвимость влияет на использование всплывающих подсказок и всплывающих окон:

Ранее на этой неделе разработчик сообщил о проблеме XSS, аналогичной уязвимости целевого объекта данных, которая была исправлена ​​в версиях v4.1.2 и v3.4.0: в атрибуте data-template для наших плагинов всплывающих подсказок и всплывающих окон отсутствовала надлежащая XSS-дезинфекция HTML-кода, который можно передать в значение атрибута.

Исправление включает новое средство очистки JavaScript, которое позволяет использовать только элементы HTML из белого списка в атрибуте данных. Разработчики могут изменить реализацию очистки Bootstrap или настроить свои собственные функции. Помимо исправления уязвимости, Bootstrap опубликовал новую документацию по дезинфицирующему средству для версий 4.3 и 3.4 .

По данным BuiltWith , Bootstrap используется примерно в 16% Интернета. Он также широко используется в плагинах и темах WordPress. В каталоге плагинов WordPress.org есть сотни списков, которые так или иначе реализуют Bootstrap . Многие из них не обновлялись месяцами или даже больше года. Трудно сказать, какие из них могут быть затронуты этой уязвимостью, поскольку это зависит от того, как автор плагина реализовал Bootstrap и, в некоторых случаях, от того, что пользователи решили выводить во внешний интерфейс. Если у вас есть плагин или тема, использующая Bootstrap, возможно, стоит связаться с автором, чтобы узнать, потребуется ли обновление безопасности.