Una vulnerabilità cross-site scripting (XSS), CVE-2020-11022, esiste nelle versioni jQuery successive o uguali alla 1.2 e precedenti alla 3.5.0. Questo difetto consente a un utente malintenzionato con la possibilità di fornire un input alla funzione parseHTML()
per inserire codice JavaScript nella pagina quando l'input viene visualizzato e per essere consegnato dal browser. In Looker 21.18 e versioni precedenti, la versione di jQuery fornita come variabile globale a una visualizzazione personalizzata sandbox includeva questa vulnerabilità.
A partire da Looker 21.20, l'istanza jQuery integrata che è disponibile per le visualizzazioni personalizzate è stata aggiornata e questa vulnerabilità è stata risolta. A seguito della risoluzione di questa vulnerabilità, Looker non riconoscerà più i tag XHTML a chiusura automatica, come <div />
nelle visualizzazioni personalizzate.
In Looker 21.20, una nuova funzionalità precedente, Consenti tag vuoti in stile XHTML nelle visualizzazioni personalizzate, è inclusa nella pagina Funzionalità precedenti nella sezione Amministratore di Looker. L'attivazione di questa funzionalità precedente disabilita la protezione contro CVE-2020-11022, causando il riconoscimento dei tag XHTML a chiusura automatica nelle visualizzazioni personalizzate, ma esponendo anche la vulnerabilità di jQuery. Se attivi questa funzionalità precedente, consigliamo vivamente di controllare le visualizzazioni personalizzate per individuare i tag a chiusura automatica, correggere eventuali tag che si chiudono automaticamente e disattivare la funzionalità precedente. Questa funzionalità precedente è disabilitata in Looker 22.20 e i tag XHTML a chiusura automatica non saranno consentiti.