Existe uma vulnerabilidade de scripting em vários locais (XSS), CVE-2020-11022, nas versões jQuery anteriores ou iguais à 1.2 e anteriores à 3.5.0. Essa falha permite que um invasor forneça entrada à função parseHTML() para injetar JavaScript na página quando ela for renderizada e para que ela seja enviada pelo navegador. No Looker 21.18 e versões anteriores, a versão do jQuery fornecida como variável global a uma visualização personalizada no sandbox incluiu essa vulnerabilidade.
A partir do Looker 21.20, a instância integrada jQuery disponível para visualizações personalizadas foi atualizada, e essa vulnerabilidade foi resolvida. Como resultado dessa ação, o Looker não reconhecerá mais tags XHTML com fechamento automático, como <div /> em visualizações personalizadas.
No Looker 21.20, um novo recurso legado, Permitir tags vazias no estilo XHTML nas visualizações personalizadas, está incluído na página Recursos legados na seção Administrador do Looker. Ativar esse recurso legado desativa a proteção contra CVE-2020-11022, fazendo com que as tags XHTML com fechamento automático sejam reconhecidas em visualizações personalizadas, mas também expondo a vulnerabilidade da jQuery. Se você ativar esse recurso legado, recomendamos auditar suas visualizações personalizadas para tags com fechamento automático, corrigir as tags de fechamento automático e desativar o recurso legado. Esse recurso legado está programado para ser desativado no Looker 22.20, e não é permitido o fechamento de tags XHTML.