La faille CVE-2020-11022 (XSS) existe dans les versions de jQuery qui sont ultérieures à 1.2 ou à une version antérieure à 3.5.0. Cette faille permet à un pirate informatique de fournir des entrées à la fonction parseHTML() afin d'injecter du code JavaScript sur la page lors de l'affichage de cette entrée et de la transmettre au navigateur. Dans Looker 21.18 et versions antérieures, la version de jQuery fournie en tant que variable globale à une visualisation personnalisée en bac à sable incluait cette faille.
Depuis Looker 21.20, l'instance jQuery intégrée, disponible pour les visualisations personnalisées, a été mise à jour et cette faille a été corrigée. En raison de cette faille, Looker ne reconnaîtra plus les balises XHTML qui se ferment automatiquement, telles que <div /> dans les visualisations personnalisées.
Dans Looker 21.20, une nouvelle ancienne fonctionnalité, Autoriser les balises vides de style XHTML dans les visualisations personnalisées, est incluse sur la page Anciennes fonctionnalités de la section Administration de Looker. L'activation de cette ancienne fonctionnalité désactive la protection contre la faille CVE-2020-11022. En effet, les balises XHTML qui se ferment automatiquement sont reconnues dans les visualisations personnalisées, mais aussi la vulnérabilité jQuery. Si vous activez cette ancienne fonctionnalité, nous vous recommandons vivement d'effectuer un audit de vos visualisations personnalisées pour identifier les balises à fermeture automatique, de corriger les éventuelles balises et de désactiver l'ancienne fonctionnalité. Cette ancienne fonctionnalité sera désactivée dans Looker 22.20, et les balises XHTML à fermeture automatique ne seront pas autorisées.