[研究][ASP.NET]AspNet.ScriptManager.jQuery.UI.Combined 1.12.1 移除測試

[研究][ASP.NET]AspNet.ScriptManager.jQuery.UI.Combined 1.12.1 移除測試

2022-09-23

環境：Visual Studio 2022 + ASP.NET + WebForm + Web Application + C#

狀況：NuGet 升級 jQuery.UI.Combined 1.12.1 為 1.13.2 會出現

嚴重性 程式碼 說明 專案 檔案 行 隱藏項目狀態

錯誤 無法解析相依性。'jQuery.UI.Combined 1.13.2' 與 'AspNet.ScriptManager.jQuery.UI.Combined 1.12.1 條件約束: jQuery.UI.Combined (>= 1.12.1 && < 1.12.2)' 不相容。

但 AspNet.ScriptManager.jQuery.UI.Combined 1.12.1 已經是最新，而https://www.nuget.org/packages/AspNet.ScriptManager.jQuery.UI.Combined

而 jQuery.UI.Combined 1.12.1 弱點，又必須升級

NVD CVE-2021-41184 26 Oct 2021 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Medium

NVD CVE-2021-41183 26 Oct 2021 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Medium

NVD CVE-2021-41182 26 Oct 2021 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') Medium

NVD CVE-2022-31160 21 Jul 2022 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

於是測試看看能否單獨移除 AspNet.ScriptManager.jQuery.UI.Combined 1.12.1。

jQuery 之後又升級到 3.6.0

 疑似正常。

升級 jQuery.UI.Combined.1.12.1 -> jQuery.UI.Combined.1.13.2，編譯正常。

整個方案搜尋 1.12.1，把 Scripts/jquery-ui-1.13.2.js 換成 Scripts/jquery-ui-1.13.2.js

(完)

相關