Вразливості JS-бібліотек

01 Що це таке?

JavaScript-бібліотеки — jQuery, Bootstrap, React, Lodash та інші — є будівельними блоками більшості сучасних сайтів. Але старі версії цих бібліотек містять відомі вразливості, задокументовані в базі CVE (Common Vulnerabilities and Exposures). Проблема в тому, що розробники встановлюють бібліотеку, вона роками не оновлюється, і з часом у ній знаходять критичні діри безпеки. Оскільки версія бібліотеки часто видна у вихідному коді сторінки, зловмисники можуть автоматично шукати сайти з вразливими версіями і атакувати їх.

02 Чому це важливо для бізнесу?

• →jQuery до 3.4 має критичну XSS-вразливість CVE-2019-11358 — дозволяє виконати довільний JavaScript
• →60% сайтів у світі використовують jQuery, з них більшість — застарілі версії
• →PHP-фреймворки (Laravel, Symfony, Yii) не оновлюють frontend-залежності автоматично
• →Зловмисники мають автоматизовані сканери, які шукають сайти з вразливими бібліотеками
• →ChatGPT і старі туторіали часто пропонують код із застарілими версіями бібліотек

03 Що саме перевіряємо

• ✓Версія jQuery і перевірка по базі CVE (вразливості починаючи з 1.x)
• ✓Bootstrap — версії до 3.4.1 і 4.3.1 мають XSS-вразливості
• ✓Lodash — версії до 4.17.21 вразливі до Prototype Pollution
• ✓Underscore.js, Moment.js та інші популярні бібліотеки
• ✓Бібліотеки підключені через зовнішні CDN (cdnjs, jsDelivr, unpkg)
• ✓Версії з файлів bundle — мінімізованих і звичайних

04 Типові проблеми

05 Вплив на бізнес