Existe una vulnerabilidad de secuencias de comandos entre sitios (XSS), CVE-2020-11022, en las versiones de jQuery posteriores o iguales a 1.2 y anteriores a 3.5.0. Esta falla permite que un atacante que pueda proporcionar entradas a la función parseHTML() inyecte JavaScript en la página cuando se renderice esa entrada y que el navegador la entregue. En Looker 21.18 y versiones anteriores, la versión de jQuery que se proporcionaba como variable global a una visualización personalizada en zona de pruebas incluía esta vulnerabilidad.
A partir de Looker 21.20, se actualizó la instancia de jQuery integrada que está disponible para las visualizaciones personalizadas y se abordó esta vulnerabilidad. Como resultado de la solución de esta vulnerabilidad, Looker ya no reconocerá las etiquetas XHTML de cierre automático, como <div />, en las visualizaciones personalizadas.
En Looker 21.20, se incluye una nueva función heredada, Permitir etiquetas vacías de estilo XHTML en visualizaciones personalizadas, en la página Funciones heredadas de la sección Administrador de Looker. Si habilitas esta función heredada, se inhabilita la protección contra el CVE-2020-11022, lo que hace que se reconozcan las etiquetas XHTML de cierre automático en las visualizaciones personalizadas, pero también expone la vulnerabilidad de jQuery. Si habilitas esta función heredada, te recomendamos que audites tus visualizaciones personalizadas en busca de etiquetas de cierre automático, corrijas las que encuentres y, luego, inhabilites la función heredada. Se programó que esta función heredada se inhabilite en Looker 22.20 y no se permitirán las etiquetas XHTML de cierre automático.