Drupal-ontwikkelaars hebben deze week gebruikers geïnformeerd over verschillende kwetsbaarheden die zijn ontdekt in een bibliotheek van derden die onlangs is herrezen nadat deze blijkbaar was stopgezet.
De bibliotheek in kwestie is jQuery UI, die een reeks gebruikersinterface-interacties, effecten, widgets en thema's biedt die bovenop de populaire jQuery JavaScript-bibliotheek zijn gebouwd.
jQuery wordt naar verluidt gebruikt door bijna driekwart van de 10 miljoen populairste websites, en op zijn hoogtepunt werd jQuery UI ook gebruikt door enkele van 's werelds grootste bedrijven.
Er was een nieuwe versie van jQuery UI uitgebracht in oktober 2021, maar eerder werd aangenomen dat het project het einde van de levensduur had bereikt, aangezien dit de eerste nieuwe release in vijf jaar was. De nieuwste release repareert drie cross-site scripting (XSS)-kwetsbaarheden die kunnen worden misbruikt voor het uitvoeren van code.
De gebreken, geclassificeerd als gemiddelde ernst, worden bijgehouden als CVE-2021-41182, CVE-2021-41183 en CVE-2021-41184, en ze zijn gepatcht met de release van jQuery UI 1.13.
De jQuery UI-bibliotheek is wordt nog steeds vermoord als onderdeel van moderniseringsinspanningen. De beheerders van jQuery merkten op dat dit naar verwachting de definitieve release zal zijn, maar beloofden nog steeds patches te leveren voor kritieke beveiligings-, interoperabiliteits- of regressiebugs.
jQuery UI werd in 2009 aan de Drupal-kern toegevoegd, maar nadat ze zich realiseerden dat de bibliotheek niet langer werd onderhouden, kondigden Drupal-ontwikkelaars aan dat deze verouderd zou zijn.
Woensdag waarschuwde Drupal echter dat de onlangs gepatchte jQuery UI-kwetsbaarheden nog steeds gevolgen kunnen hebben voor sommige Drupal 7- en/of Drupal 9-websites. Exploitatie is mogelijk via bijgedragen Drupal-modules of aangepaste code.
De nieuwste Drupal-updates pakken deze en een paar aan oudere XSS-kwetsbaarheden die de jQuery-gebruikersinterface beïnvloeden.
Websites die het Background CMS gebruiken, dat in 2013 van Drupal is afgeleid, zijn dat ook getroffen door de kwetsbaarheden. Background-ontwikkelaars lieten gebruikers woensdag weten dat de nieuwste versie van het CMS de nieuwste jQuery UI-release bevat.
IBM informeerde ook klanten over deze kwetsbaarheden, in december. De technologiegigant, die een hoge ernst beoordeling van de tekortkomingen, zei dat de jQuery UI-bibliotheek een onderdeel is van de Tivoli Netcool/Impact bedrijfs- en netwerkbeheersoftware.
Leverancier van datamanagementoplossingen NetApp heeft ook een adviserend om klanten te vertellen over de kwetsbaarheden, die volgens haar zouden kunnen leiden tot openbaarmaking van gevoelige informatie of wijziging van gegevens. NetApp zei dat meerdere producten jQuery UI bevatten.
Zie ook: Symfony- en jQuery-kwetsbaarheden verholpen in Drupal
Zie ook: XSS, Open Redirect-kwetsbaarheden verholpen in Drupal
Eduard Kovacs (@EduardKovacs) is een bijdragende redacteur bij SecurityWeek. Hij werkte twee jaar als IT-docent op een middelbare school voordat hij een carrière in de journalistiek begon als Softpedia's beveiligingsjournaalverslaggever. Eduard heeft een bachelordiploma in industriële informatica en een masterdiploma in computertechnieken toegepast in elektrotechniek.
Tags: 
