La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha recentemente inserito una vulnerabilità di sicurezza ormai risolta, che ha colpito la popolare libreria JavaScript jQuery, nel suo catalogo delle vulnerabilità notoriamente sfruttate (Known Exploited Vulnerabilities, KEV). Questa decisione è stata presa sulla base di prove che dimostrano l'attiva sfruttabilità di tale vulnerabilità. Questa vulnerabilità, di gravità media, è identificata come CVE-2020-11023 e ha un punteggio CVSS di 6.1/6.9. Si tratta di un bug cross-site scripting (XSS) risalente a quasi cinque anni fa, che potrebbe essere sfruttato per eseguire codice arbitrario.

Il problema si verifica quando si passa HTML contenente elementi da fonti non attendibili, anche dopo averli sanitizzati, ai metodi di manipolazione del DOM di jQuery, come .html() e .append(), il che potrebbe portare all'esecuzione di codice non autorizzato. Questo bug è stato affrontato e risolto nella versione 3.5.0 di jQuery, rilasciata nell'aprile del 2020. Come soluzione alternativa, per mitigare il rischio di CVE-2020-11023, si consiglia di utilizzare DOMPurify con l'opzione SAFE_FOR_JQUERY attiva per sanitizzare la stringa HTML prima di passarla a un metodo jQuery.

Sebbene l'avviso della CISA non fornisca dettagli specifici sulla natura dello sfruttamento o sull'identità degli attori della minaccia che stanno sfruttando tale vulnerabilità, ci sono rapporti che indicano che la vulnerabilità è stata sfruttata da gruppi di minaccia come APT1 e APT27. Inoltre, la società di sicurezza olandese EclecticIQ ha rivelato che gli indirizzi di comando e controllo (C2) associati a una campagna dannosa sfruttavano una versione di jQuery vulnerabile a una delle tre falle, inclusa CVE-2020-11023.

Secondo la direttiva operativa vincolante BOD 22-01, alle agenzie della Federal Civilian Executive Branch (FCEB) è raccomandato di sanare la vulnerabilità individuata entro il 13 febbraio 2025, per proteggere le loro reti da minacce attive. L'articolo è stato aggiornato dopo la pubblicazione per includere riferimenti a rapporti che evidenziano lo sfruttamento della vulnerabilità CVE-2020-11023.