发布日期：2020-04-29
更新日期：2020-09-18

受影响系统：

jQuery  >= 1.0.3
jQuery  < 3.5.0

描述：

---

CVE(CAN) ID: CVE-2020-11023

jQuery是美国John Resig程序员的一套开源、跨浏览器的JavaScript库。该库简化了HTML与JavaScript之间的操作，并具有模块化、插件扩展等特点。
jQuery 1.0.3及之后版本和3.5.0之前版本存在跨站脚本执行漏洞。该漏洞源于option元素未对用户输入进行正确验证。攻击者可利用该漏洞将恶意脚本注入网页，在用户的Web浏览器中执行脚本，窃取用户基于Cookie的身份验证凭据。

<**>

建议：

---

厂商补丁：

jQuery
------
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://jquery.com/upgrade-guide/3.5/

浏览次数：1243
严重程度：0（网友投票）