PoC para CVE-2015-9251 jQuery menor a 3.0.0.
Este repositorio contiene un Proof of Concept (PoC) para la vulnerabilidad CVE-2015-9251 en la biblioteca jQuery. La vulnerabilidad permite un ataque de Cross-Site Scripting (XSS) a través de llamadas JSONP sin sanitización, debido a que jQuery permite la inyección de código en el parámetro callback en versiones anteriores a la 3.0.0.
CVE-2015-9251 afecta a versiones de jQuery anteriores a la 3.0.0. La vulnerabilidad se explota al manipular el parámetro callback en una solicitud JSONP, lo cual puede permitir la ejecución de código JavaScript arbitrario en el navegador de la víctima. Esto puede llevar a la exposición de datos sensibles, como las cookies de sesión.
- Entorno de Pruebas: La aplicación web vulnerable debe utilizar una versión de jQuery menor a 3.0.0.
- Navegador Web: Para ejecutar el PoC y observar el comportamiento del exploit.
- Herramienta de Inspección: Las DevTools del navegador serán útiles para ver los resultados.
Para ejecutar el PoC, sigue estos pasos:
- Copiar y pegar el código en la consola del navegador o incluirlo en una página HTML de prueba.
<script src="https://code.jquery.com/jquery-1.11.3.min.js"></script>
<script>
// Función que simula una solicitud a un servidor vulnerable
$.ajax({
url: "https://example.com/api?callback=alert(document.cookie)",
dataType: "jsonp", // JSONP permite la ejecución de código en JSONP callbacks
success: function(response) {
console.log(response);
}
});
</script>