跨站脚本攻击 (XSS) 漏洞 (CVE-2020-11022) 存在于 1.2 及更低版本中的 jQuery 版本中,且早于 3.5.0。借助此缺陷,攻击者能够向 parseHTML() 函数提供输入,以便在呈现该输入时将 JavaScript 注入该网页,并由浏览器传递。在 Looker 21.18 及更早版本中,作为全局变量提供给沙盒自定义可视化图表的 jQuery 版本包含此漏洞。
从 Looker 21.20 开始,适用于自定义可视化图表的内置 jQuery 实例已更新,此漏洞已得到解决。修复此漏洞后,Looker 将不再识别自闭 XHTML 标记,例如自定义可视化图表中的 <div />。
在 Looker 21.20 中,新的自定义功能(即允许在自定义可视化图表中使用 XHTML 样式的空标记)已包含在 Looker 的“管理”部分中的旧版功能页面中。启用此旧版功能会停用针对 CVE-2020-11022 的保护,导致自定义可视化图表中的自闭 XHTML 标记被识别,但也会暴露 jQuery 漏洞。如果您启用此旧版功能,我们强烈建议您审核针对自闭合标签的自定义可视化内容,更正所有自闭合标签,并停用旧版功能。我们计划在 Looker 22.20 中停用这项旧版功能,并且不允许自行关闭 XHTML 标记。