Hallo liebes Forum,
wir haben einen externen Pentest durchführen lassen.
Dabei kam heraus, dass der NSP Large Files in der aktuellen Version 13.2 1706 eine alte jQuery UI Version kleiner als 1.13.0 nutzt. Es bestehen mehrere moderate Lücken und ein Upgrade auf 1.13.0 oder neuer wird empfohlen.
According to its self-reported version number, jQuery UI is prior to 1.13.0. It is, therefore,
affected by multiple vulnerabilities:
- A Cross-Site Scripting (XSS) in the altField option of the Datepicker widget (CVE-2021-41182)
- A Cross-Site Scripting (XSS) in *Text options of the Datepicker widget (CVE-2021-41183)
- A Cross-Site Scripting (XSS) in the of option of the .position() util (CVE-2021-41184)
Da wir ein ISO27001 zertifiziertes Unternehmen sind, wurde ich angewiesen dieses Problem zu beheben. Im Audit werden diese Probleme aufgearbeitet und alles muss gepatcht sein.
Die schönste Lösung wäre natürliche eine aktuelle Version der Bibliothek mit einem NSP Update auszuliefern und keine veraltete Version davon zu installieren.
Gibt es aktuell eine andere Möglichkeit das zu patchen und oder ggf. die Datei auszutauschen?
Auf dem Server habe ich eine jquery.min.js mit Version 1.12.3 gefunden.
Ich möchte aber nicht einfach daran fummeln und am Ende ein größeres Problem verursachen.
Hat jemand Erfahrungen dazu oder selber bereits diese CVEs gepatcht?
Vielen Dank
wir haben einen externen Pentest durchführen lassen.
Dabei kam heraus, dass der NSP Large Files in der aktuellen Version 13.2 1706 eine alte jQuery UI Version kleiner als 1.13.0 nutzt. Es bestehen mehrere moderate Lücken und ein Upgrade auf 1.13.0 oder neuer wird empfohlen.
According to its self-reported version number, jQuery UI is prior to 1.13.0. It is, therefore,
affected by multiple vulnerabilities:
- A Cross-Site Scripting (XSS) in the altField option of the Datepicker widget (CVE-2021-41182)
- A Cross-Site Scripting (XSS) in *Text options of the Datepicker widget (CVE-2021-41183)
- A Cross-Site Scripting (XSS) in the of option of the .position() util (CVE-2021-41184)
Da wir ein ISO27001 zertifiziertes Unternehmen sind, wurde ich angewiesen dieses Problem zu beheben. Im Audit werden diese Probleme aufgearbeitet und alles muss gepatcht sein.
Die schönste Lösung wäre natürliche eine aktuelle Version der Bibliothek mit einem NSP Update auszuliefern und keine veraltete Version davon zu installieren.
Gibt es aktuell eine andere Möglichkeit das zu patchen und oder ggf. die Datei auszutauschen?
Auf dem Server habe ich eine jquery.min.js mit Version 1.12.3 gefunden.
Ich möchte aber nicht einfach daran fummeln und am Ende ein größeres Problem verursachen.
Hat jemand Erfahrungen dazu oder selber bereits diese CVEs gepatcht?
Vielen Dank
