NoSpamProxy Forum
NSP 13.2 1706 LargeFiles - CVE Sicherheitslücken jQuery UI - Druckversion

+- NoSpamProxy Forum (https://forum.nospamproxy.com)
+-- Forum: NoSpamProxy Server (https://forum.nospamproxy.com/forumdisplay.php?fid=1)
+--- Forum: LargeFiles (https://forum.nospamproxy.com/forumdisplay.php?fid=5)
+--- Thema: NSP 13.2 1706 LargeFiles - CVE Sicherheitslücken jQuery UI (/showthread.php?tid=564)



NSP 13.2 1706 LargeFiles - CVE Sicherheitslücken jQuery UI - raffi - 15.06.2022

Hallo liebes Forum,

wir haben einen externen Pentest durchführen lassen. 

Dabei kam heraus, dass der NSP Large Files in der aktuellen Version 13.2 1706 eine alte jQuery UI Version kleiner als 1.13.0 nutzt. Es bestehen mehrere moderate Lücken und ein Upgrade auf 1.13.0 oder neuer wird empfohlen.

According to its self-reported version number, jQuery UI is prior to 1.13.0. It is, therefore,
affected by multiple vulnerabilities:
- A Cross-Site Scripting (XSS) in the altField option of the Datepicker widget (CVE-2021-41182)
- A Cross-Site Scripting (XSS) in *Text options of the Datepicker widget (CVE-2021-41183)
- A Cross-Site Scripting (XSS) in the of option of the .position() util (CVE-2021-41184)


Da wir ein ISO27001 zertifiziertes Unternehmen sind, wurde ich angewiesen dieses Problem zu beheben. Im Audit werden diese Probleme aufgearbeitet und alles muss gepatcht sein.

Die schönste Lösung wäre natürliche eine aktuelle Version der Bibliothek mit einem NSP Update auszuliefern und keine veraltete Version davon zu installieren.

Gibt es aktuell eine andere Möglichkeit das zu patchen und oder ggf. die Datei auszutauschen?
Auf dem Server habe ich eine jquery.min.js mit Version 1.12.3 gefunden.
Ich möchte aber nicht einfach daran fummeln und am Ende ein größeres Problem verursachen.

Hat jemand Erfahrungen dazu oder selber bereits diese CVEs gepatcht? 

Vielen Dank  Smile


RE: NSP 13.2 1706 LargeFiles - CVE Sicherheitslücken jQuery UI - JanJäschke - 15.06.2022

Hallo raffi,

wir bereiten aktuell die Auslieferung einer neueren Version vor. Bis dahin könntest du die jQuery Datei manuell ersetzen um die Meldungen zu umgehen.

An dieser Stelle möchte ich aber unbedingt folgendes hinzufügen:
Aktuell kann unseres wissens nach keine der genannten CVEs auf unseren Systemen ausgenutzt werden, weil wir die enstsprechenden Komponenten/Funktionen schlicht weg nicht verwenden.
Falls dir hier ggf. neben den reinen "Scan" Ergebnissen auch konkrete Anwendungfälle vorliegen würden wir uns sehr freuen wenn wir hier etwas tiefer ins Detail gehen können.

Dies soll natürlich nicht als Ausrede dienen, ich möchte nur sicher gehen, dass nichts falsch verstanden wird Smile


Gruß
Jan


RE: NSP 13.2 1706 LargeFiles - CVE Sicherheitslücken jQuery UI - raffi - 20.06.2022

Danke für die Rückmeldung. Dann versuche ich es mal mit dem Austausch der Datei, solange noch kein Update vorliegt.

Viele Grüße