简介

Dynamics 正在使用的某些 jQuery 库存在允许跨站点脚本 (XSS) 攻击的已知漏洞。本文介绍这些库的动态使用,以及这些漏洞是否存在于 Dynamics 365(内部部署)的最新版本中。

版本信息

jQuery 库,具有已识别的漏洞,这些漏洞正由列出的 Microsoft Dynamics 365(本地)版本使用:

jQuery 版本 2.1.1 jQuery.ui 版本 1.8.21

使用上述库的 Microsoft Dynamics 365 版本已针对此漏洞评估进行了审查:

微软动态 365 版本 8.2.2.0112 及以上 微软动态 CRM 版本 7.1.2.1032 及以上版本

漏洞评估

对于评估的 Dynamics 365 版本,上述库中易受攻击函数的开箱即用是安全的。尽管库正在使用中,具体取决于产品的确切版本,但无法使用这些已知的漏洞。

Microsoft Dynamics 365 正在利用稳定的分支版本的 jQuery,其中包括 3.x、2.x 和 1.x。虽然库中的特定功能存在风险,但我们的 Microsoft SDL 流程中已对 jQuery 的所有使用情况进行了广泛审查,并且我们确保不使用易受攻击的方法。 使用这些 jQuery 库的进程将执行此操作,直到产品使其过时(弃用)。

更多信息

有关 jQuery 漏洞的信息,请参阅以下内容:

jQuery.UI.UI.dialog jQuery.UI 版本 1.12.0 列出漏洞的 关闭文本选项的关闭文本选项

 

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

你对翻译质量的满意程度如何?

哪些因素影响了你的体验?

是否还有其他反馈?(可选)

谢谢您的反馈意见!

×