jQuery 跨站腳本漏洞影響大量網站

Snyk 發布了 2019 年度的 JavaScript 框架安全狀況報告（PDF），除了最流行的 JS 框架 Angular 和 React 外，報告還觀察了其它三個流行 JS 前端框架 Vue.js、Bootstrap 和 jQuery 的安全漏洞。jQuery 過去 12 個月的下載量超過了 1.2 億次，是 Vue.js 的 4000 萬次和 Bootstrap 的 7900 萬次之和。Vue.js 發現了 4 個漏洞，都已經修復。Bootstrap 發現了 7 個跨站腳本漏洞，3 個是在 2019 年披露的，無安全修正。jQuery 發現了 6 個影響所有版本的安全漏洞，4 個是中等危險級別的跨站腳本漏洞，1 個是中危 Prototype Pollution 漏洞，還有一個是低危拒絕服務漏洞。jQuery 3.4.0 以上版本不受漏洞影響。jQuery 生態系統還發現了多個惡意的擴展包，其中包括 jquery.js、jquery-airload、github-jquery-widgets、 jquery-mobile、jquery-file-upload 和 jquery-colorbox，這些包過去一年的下載量從幾百到幾千不等。