Hallo zusammen! Habe für meinen Shop das Audit aus DevTools heraus gestartet - es wurden Schwachstellen gemeldet. Click auf die Details ergab folgendes: https://snyk.io/test/npm/jquery/1.12.4 (1) Cross-site Scripting (XSS) Affected versions of this package are vulnerable to Cross-site Scripting (XSS) attacks when a cross-domain ajax request is performed without the dataType option causing text/javascript responses to be executed. (2) Prototype Pollution Affected versions of this package are vulnerable to Prototype Pollution. The extend function can be tricked into modifying the prototype of Objectwhen the attacker controls part of the structure passed to this function. This can let an attacker add or modify an existing property that will then exist on all objects. https://snyk.io/test/npm/bootstrap/3.3.7 Cross-Site Scripting (XSS) (3) Affected versions of this package are vulnerable to Cross-Site Scripting (XSS) via the data-target attribute. (4) Affected versions of this package are vulnerable to Cross-site Scripting (XSS) in data-template, data-content and data-title properties of tooltip/popover. (5)Affected versions of this package are vulnerable to Cross-site Scripting (XSS) via the tooltip data-viewport attribute. (6) Affected versions of this package are vulnerable to Cross-site Scripting (XSS) via the affix configuration target property. (7) Affected versions of this package are vulnerable to Cross-site Scripting (XSS) via the tooltip, collapse and scrollspy plugins. Affected versions of this package are vulnerable to Cross-site Scripting (XSS) via the tooltip, collapse and scrollspy plugins. Wie ernst ist das zu sehen? Wird bereits daran gearbeitet? Gruss FDW
Unsere Jquery Bibliothek hat diese Lücken ja, eine Ausnutzung setzt bei beiden Sachen aber eine vorherige Kontrolle anderer kritischer Elemente vorraus, und dagegen sind wir - Stand heutigen Wissens - gefeit. JQuery updaten ist nicht ganz ohne, dabei geht immer was zu Bruch. Wir wollen mittelfristig auf JQuery verzichten und es gar nicht mehr ausliefern, brauchen aber noch etwas bis wir soweit sein werden. Diese Lücken existieren quasi nur wenn auch das Javascript Paket von Bootstrap3.3.7 benutzt wird, das benutzen wir aber nicht. Wir haben davon quasi nur HTML und CSS an Bord. Wir werden trotzdem beizeiten zusehen auf eine neuere 3.x Version zu gehen, falls sich jemand was rundrum bauen möchte.