jQuery 资源管理错误漏洞CVE-2021-21252附修复方案
一、漏洞介绍
jQuery是美国John Resig个人开发者的一套开源、跨浏览器的JavaScript库。该库简化了HTML与JavaScript之间的操作,并具有模块化、插件扩展等特点。
jQuery 1.19.3版本之前存在资源管理错误漏洞,该漏洞源于jquery验证包含一个或多个正则表达式,这些正则表达式容易受到ReDoS(正则表达式拒绝服务)的攻击。
二、漏洞级别
高危
三、jQuery 验证插件使用场景介绍
1.在包含 jQuery和插件的页面上选择一个表单来验证并调用该validate方法。
<form>
<input required>
</form>
<script src="jquery.js"></script>
<script src="jquery.validate.js"></script>
<script>
$("form").validate();
</script>
2.通过 requirejs 在你的模块中包含 jQuery 和插件。
define(["jquery", "jquery.validate"], function( $ ) {
$("form").validate();
});
四、修复方案
1.找到jquery.validate.js文件中的下方这段代码:
email: function( value, element ) {
// From https://html.spec.whatwg.org/multipage/forms.html#valid-e-mail-address
// Retrieved 2014-01-14
// If you have a problem with this implementation, report a bug against the above spec
// Or use custom methods to implement your own email validation
return this.optional( element ) || /^[a-zA-Z0-9.!#$%&'*+\/=?^_`{|}~-]+@[a-zA-Z0-9](?:[a-zA-Z0-9-]{0,61}[a-zA-Z0-9])?(?:\.[a-zA-Z0-9](?:[a-zA-Z0-9-]{0,61}[a-zA-Z0-9])?)*$/.test( value );
},
// https://jqueryvalidation.org/url-method/
url: function( value, element ) {
然后在上方代码末尾插入下方这段代码:
return this.optional( element ) || /^(?:(?:(?:https?|ftp):)?\/\/)(?:\S+(?::\S*)?@)?(?:(?!(?:10|127)(?:\.\d{
1,3}){
3})(?!(?:169\.254|192\.168)(?:\.\d{
1,3}){
2})(?!172\.(?:1[6-9]|2\d|3[0-1])(?:\.\d{
1,3}){
2})(?:[1-9]\d?|1\d\d|2[01]\d|22[0-3])(?:\.(?:1?\d{
1,2}|2[0-4]\d|25[0-5])){
2}(?:\.(?:[1-9]\d?|1\d\d|2[0-4]\d|25[0-4]))|(?:(?:[a-z\u00a1-\uffff0-9]-*)*[a-z\u00a1-\uffff0-9]+)(?:\.(?:[a-z\u00a1-\uffff0-9]-*)*[a-z\u00a1-\uffff0-9]+)*(?:\.(?:[a-z\u00a1-\uffff]{
2,})).?)(?::\d{
2,5})?(?:[/?#]\S*)?$/i.test( value );
return this.optional( element ) || /^(?:(?:(?:https?|ftp):)?\/\/)(?:\S+(?::\S*)?@)?(?:(?!(?:10|127)(?:\.\d{
1,3}){
3})(?!(?:169\.254|192\.168)(?:\.\d{
1,3}){
2})(?!172\.(?:1[6-9]|2\d|3[0-1])(?:\.\d{
1,3}){
2})(?:[1-9]\d?|1\d\d|2[01]\d|22[0-3])(?:\.(?:1?\d{
1,2}|2[0-4]\d|25[0-5])){
2}(?:\.(?:[1-9]\d?|1\d\d|2[0-4]\d|25[0-4]))|(?:(?:[a-z0-9\u00a1-\uffff][a-z0-9\u00a1-\uffff_-]{
0,62})?[a-z0-9\u00a1-\uffff]\.)+(?:[a-z\u00a1-\uffff]{
2,}\.?))(?::\d{
2,5})?(?:[/?#]\S*)?$/i.test( value );
},
2.修改jQuery验证插件的版本号,这样漏洞检测设备就检测不到这个漏洞了,但是风险还是存在。
3.升级jQuery验证插件版本。
jQuery验证插件最新版本下载