В плагине jQuery Validation исправлена XSS-уязвимость

Брешь затрагивает демо-версию кода CAPTCHA, но не сам плагин.

Член команды jQuery Йорн Цефферер (Jörn Zaefferer)  устранил  уязвимость в разработанном им плагине jQuery Validation. Брешь, позволяющая осуществить атаку межсайтового скриптинга, была обнаружена голландским исследователем Сижменом Руфхофом (Sijmen Ruwhof) в демо-версии скрипта CAPTCHA три месяца назад.

Несмотря на то, что уязвимость затрагивает только демо-версию кода, но не сам плагин, исследователи решили раскрыть ее, поскольку многие разработчики устанавливают код вместе с плагином. Рувхоф  пояснил , что эта опасная брешь позволяет осуществлять отраженные XSS-атаки для похищения личности (в случае, если файлы cookie не защищены с помощью HttpOnly).

Отметим, что голландский эксперт оказался не первым, кто обнаружил уязвимость. Впервые сообщения о ней появились в июле 2011 года, а присутствует она в коде еще с 2007 года. По словам Рувхофа, ошибка была допущена не автором плагина jQuery Validation, а разработчиком кода CAPTCHA. Цефферер выпустил исправление в среду, 19 ноября.

Эксперты считают, что уязвимость затрагивает порядка 20 тысяч сайтов. Напомним, что плагин jQuery Validation предоставляет более простую форму валидации.