Skip to main content

 

誤検出 - jquery-ui-dialogに潜在的に脆弱なライブラリのフラグが設定される

 

OutSystems

誤検出 - jquery-ui-dialogに潜在的に脆弱なライブラリのフラグが設定される

問題

一部のペネトレーションテストツールで、OutSystemsに脆弱性のあるjquery-ui-dialogライブラリが含まれていることを示すフラグが表示される場合があります。

OutSystemsではjquery-ui-dialogバージョン1.8.24を使用しており、このバージョンには既知の脆弱性CVE-2010-5312が含まれます。これは、title()関数でエスケープされていないコンテンツをタイトルに挿入することができ、クロスサイトスクリプティングの問題を引き起こす可能性があることに関連するものです。

解決策

OutSystemsでは、影響を受ける関数を使用する場合に必ず事前に入力パラメータが適切にエンコードされます。このため、jquery-ui-dialogにはまだこの脆弱性が存在していますが、OutSystemsは脆弱ではないと認識しています。

ユーザーがこのライブラリを使用してアプリケーションを開発する場合は、title()関数への入力が適切にエンコードされるように配慮する必要があります。または、jquery-ui-dialogの独自バージョンを他の名前空間にインポートして、そのバージョンを代わりに使用することもできます。