jQuery
Security

jQueryのCVE-2019-11358対応版について


はじめに

jQueryの脆弱性、CVE-2019-11358 が公開されています。なるはやで対策しておいたほうが良いです。


対応方法

対策版にあげることのみです。今の所提供された緩和策はなさそうです(もしくはextend自体を差し替える)


3.xの場合

3.4.0にあげましょう。


2.x,1.x の場合

現在公式に提供されたものはありません。次項で述べる改造版に差し替える必要があります。


2.xと1.x用の改造版

2種類あります。一長一短で、Daniel Rufさんのは差分なのでpatchコマンドなどで適用する必要があり、min.map に対応していないのでデバッグができなくなります。私版はmin.mapも同梱していますが、バージョン表記部分にCVE番号が挿入されています。($.fn.jqueryは変わらず)

なお、私の作った改造版を使った上でのトラブルの一切は感知しません。ご自分の責任においてご利用ください。