Une faille de script intersites (XSS), CVE-2020-11022, existe dans les versions jQuery supérieures ou égales à 1.2 et antérieures à 3.5.0. Cette faille permet à un pirate informatique capable de fournir une entrée à la fonction parseHTML() d'injecter du code JavaScript dans la page lorsque cette entrée est affichée et de la transmettre au navigateur. Dans Looker 21.18 et les versions antérieures, la version de jQuery fournie en tant que variable globale à une visualisation personnalisée dans un bac à sable incluait cette faille.
À partir de Looker 21.20, l'instance jQuery intégrée disponible pour les visualisations personnalisées a été mise à jour, et cette faille a été corrigée. Pour résoudre cette faille, Looker ne reconnaîtra plus les balises XHTML à fermeture automatique, telles que <div />, dans les visualisations personnalisées.
Dans Looker 21.20, une nouvelle ancienne fonctionnalité, Autoriser les balises vides de style XHTML dans les visualisations personnalisées, est incluse dans la page Anciennes fonctionnalités de la section Administration de Looker. L'activation de cette ancienne fonctionnalité désactive la protection contre la faille CVE-2020-11022, ce qui permet de reconnaître les balises XHTML à fermeture automatique dans les visualisations personnalisées, mais expose également la faille jQuery. Si vous activez cette ancienne fonctionnalité, nous vous recommandons vivement d'examiner vos visualisations personnalisées pour détecter les balises autofermantes, de les corriger et de désactiver l'ancienne fonctionnalité. Cette ancienne fonctionnalité devrait être désactivée dans Looker 22.20, et les balises XHTML à fermeture automatique ne seront plus autorisées.