DRUPAL-CORE-2022-001

jQuery UI 是 Drupal 使用的第三方库。之前认为这个库已经停止维护。 在 2021 年末，jQuery UI 宣布他们将继续开发，并发布了 [jQuery UI 1.13.0](https://blog.jqueryui.com/2021/10/jquery-ui-1-13-0-released/) 版本。作为 1.13.0 更新的一部分，他们披露了以下可能影响 Drupal 9 和 7 的安全问题： * CVE-2021-41184: [`.position()` 工具的 `of` 选项中的跨站脚本 (XSS)](https://github.com/jquery/jquery-ui/security/advisories/GHSA-gpqq-952q-5327) 此漏洞可能被某些 Drupal 模块利用。作为预防措施，此 Drupal 安全版本应用了上述跨站描述问题的修复程序，而没有对 Drupal 中包含的 jQuery 版本进行任何其他更改。 本安全公告不受 [Drupal Steward](/steward) 保护。