Die Cross-Site-Scripting-Sicherheitslücke (SSSS-2020-11022) liegt in jQuery-Versionen vor oder nach 1.2 und vor 3.5.0 vor. Durch diese Sicherheitslücke kann ein Angreifer die Eingabe an die parseHTML()-Funktion übergeben, um JavaScript in die Seite einzufügen, wenn diese Eingabe gerendert und vom Browser ausgeliefert wird. In Looker 21.18 und früheren Versionen wurde diese Sicherheitslücke in der Version von jQuery aufgenommen, die als globale Variable für eine in einer Sandbox ausgeführte benutzerdefinierte Visualisierung bereitgestellt wurde.
Ab Looker 21.20 wurde die integrierte jQuery-Instanz aktualisiert, die für benutzerdefinierte Visualisierungen zur Verfügung steht. Diese Sicherheitslücke wurde behoben. Aufgrund dieser Sicherheitslücke erkennt Looker keine selbstschließenden XHTML-Tags mehr, z. B. <div /> in benutzerdefinierten Visualisierungen.
In Looker 21.20 ist eine neue Legacy-Funktion, Leere Tags im XHTML-Stil in benutzerdefinierten Visualisierungen zulassen, auf der Seite Legacy-Funktionen im Abschnitt Admin von Looker enthalten. Wenn Sie diese Legacy-Funktion aktivieren, wird der Schutz vor CVE-2020-11022 deaktiviert. Dadurch werden selbstschließende XHTML-Tags in benutzerdefinierten Visualisierungen erkannt, aber auch die jQuery-Sicherheitslücke wird angezeigt. Wenn Sie diese alte Funktion aktivieren, empfehlen wir Ihnen dringend, Ihre benutzerdefinierten Visualisierungen für selbstschließende Tags zu prüfen, selbstschließende Tags zu korrigieren und die alte Funktion zu deaktivieren. Diese Legacy-Funktion ist in Looker 22.20 deaktiviert. Selbstschließende XHTML-Tags sind nicht zulässig.