jQuery 2.1.1はOSコマンドインジェクションに対して脆弱ですか？

バラクーダネットワークスは、静的なWebサイトでOSコマンドインジェクションの脆弱性の複数のインスタンスを発見しました。各インスタンスで、脆弱なURLはjQueryプラグイン自体（バージョン2.1.1）でした。

バラクーダネットワークスは、各重大度を重大、信頼度を特定と評価しています。

OSコマンドインジェクション攻撃は、攻撃者が脆弱なアプリケーションを介してシステムレベルのコマンドを実行しようとしたときに発生します。システムレベルのコマンドでユーザー入力を利用するアプリケーションは、OSコマンドインジェクション攻撃に対して脆弱であると見なされます。

CVSS

スコア：7.5

ベクトル：AV：N/AC：L/Au：N/C：P/I：P/A：P

治療の背景

常にセキュリティ上のリスクがあるため、WebアプリケーションでのOSコマンドの使用を最小限に抑えます。ユーザー入力を含むOSコマンドを使用する必要がある場合は、コマンドを実行する前に、悪意のある文字がないかすべてのユーザー入力を包括的にスクラブします。

問題の詳細は、「フィールドvは値/ bin/cat/etc/passwdで送信されました。マーカールート：」の後に、縮小されたjQuery（6ページ）の巨大なチャンクが続き、「fa +」で終了します; expires = Thu 、1 Jan 01 00 00:00:00が応答に見つかりました。これは、挿入されたコマンドが実行されたため、OSコマンドの挿入が可能であることを示唆しています。

ディレクトリトラバーサル用の同じjQueryプラグインにも高重大度がありました。

「パストラバーサル」、「ドットドットスラッシュ」、「バックトラッキング」とも呼ばれるディレクトリトラバーサルは、サーバーまたはコードの誤設定エラーにより、攻撃者がWebルートフォルダー外のファイルにアクセスできる場合です。これらのファイルには、ソースコード、構成、およびパスワードファイルを含む重要なシステムファイルが含まれている場合があります。

CVSSスコア：6.8

ベクトル：AV：N/AC：M/Au：N/C：P/I：P/A：P

治療の背景

パスコンポーネントの一部として適切にサニタイズされていないユーザー入力を使用しないでください。パスコンポーネントでユーザー入力をまったく使用しないことをお勧めします。

繰り返しますが、詳細は「vパラメーターは値/ etc/passwdで送信され、応答には値root：が含まれています」であり、その後に6ページの縮小jQueryが続きました。

すべてのフォームを調べて、入力が実際に適切にサニタイズされていることを確認していますが、レポートはjQuery 2.1.1自体の脆弱性を特定しているようです。

それはありそうにない印象を与えますが、これらが実際に誤検知であるかどうかを確実に知ることができるようにしたいと思います。安全のため、jQueryの最新バージョンに更新します。フォーム入力の調査とjQueryの更新以外にどのような手順を踏む必要がありますか？