Se ha detectado una vulnerabilidad de secuencias de comandos entre sitios (XSS), CVE-2020-11022, en las versiones de jQuery iguales o posteriores a 1.2 y anteriores a 3.5.0. Este fallo permite que un atacante que pueda proporcionar entradas a la función parseHTML() inyecte JavaScript en la página cuando se renderice esa entrada y que el navegador la entregue. En Looker 21.18 y versiones anteriores, la versión de jQuery que se proporcionaba como variable global a una visualización personalizada en un espacio aislado incluía esta vulnerabilidad.
A partir de Looker 21.20, se ha actualizado la instancia de jQuery integrada que está disponible para las visualizaciones personalizadas y se ha solucionado esta vulnerabilidad. Como resultado de la solución de esta vulnerabilidad, Looker dejará de reconocer las etiquetas XHTML de cierre automático, como <div />, en las visualizaciones personalizadas.
En Looker 21.20, se incluye una nueva función antigua, Permitir etiquetas vacías de estilo XHTML en visualizaciones personalizadas, en la página Funciones antiguas de la sección Administración de Looker. Si habilitas esta función antigua, se inhabilitará la protección contra CVE-2020-11022, lo que provocará que las etiquetas XHTML de cierre automático se reconozcan en las visualizaciones personalizadas, pero también se expondrá la vulnerabilidad de jQuery. Si habilita esta función antigua, le recomendamos que audite sus visualizaciones personalizadas para comprobar si hay etiquetas de cierre automático, que corrija las que haya y que inhabilite la función antigua. Esta función antigua se inhabilitará en Looker 22.20 y no se permitirán las etiquetas XHTML de cierre automático.