PoC para CVE-2015-9251 jQuery menor a 3.0.0.# CVE-2015-9251
# m10sec@proton.me
PoC para CVE-2015-9251 jQuery menor a 3.0.0.
# CVE-2015-9251 - PoC Exploit
Este repositorio contiene un **Proof of Concept (PoC)** para la vulnerabilidad **CVE-2015-9251** en la biblioteca **jQuery**. La vulnerabilidad permite un ataque de Cross-Site Scripting (XSS) a través de llamadas JSONP sin sanitización, debido a que jQuery permite la inyección de código en el parámetro `callback` en versiones anteriores a la 3.0.0.
---
## Descripción
**CVE-2015-9251** afecta a versiones de jQuery anteriores a la 3.0.0. La vulnerabilidad se explota al manipular el parámetro `callback` en una solicitud JSONP, lo cual puede permitir la ejecución de código JavaScript arbitrario en el navegador de la víctima. Esto puede llevar a la exposición de datos sensibles, como las cookies de sesión.
## Requisitos
1. **Entorno de Pruebas**: La aplicación web vulnerable debe utilizar una versión de jQuery menor a 3.0.0.
2. **Navegador Web**: Para ejecutar el PoC y observar el comportamiento del exploit.
3. **Herramienta de Inspección**: Las DevTools del navegador serán útiles para ver los resultados.
---
## Ejecución del PoC
Para ejecutar el PoC, sigue estos pasos:
1. **Copiar y pegar el código** en la consola del navegador o incluirlo en una página HTML de prueba.
### Código del PoC:
```javascript
<script src="https://code.jquery.com/jquery-1.11.3.min.js"></script>
<script>
// Función que simula una solicitud a un servidor vulnerable
$.ajax({
url: "https://example.com/api?callback=alert(document.cookie)",
dataType: "jsonp", // JSONP permite la ejecución de código en JSONP callbacks
success: function(response) {
console.log(response);
}
});
</script>
Log in to view the POC file snapshot cached by Shenlong Bot
Log in to view