圖片來源: 

Larry Cashdollar

Akamai安全研究人員Larry Cashdollar上周揭露jQuery的知名外掛jQuery File Upload中含有一個安全漏洞,將允許駭客上傳一個介殼程式到伺服器上並執行命令,而且該漏洞不僅影響jQuery File Upload,還可能影響其它7,828個jQuery File Upload的分支專案。

jQuery是個用來簡化HTML與JavaScript之間操作的JavaScript函式庫,而jQuery File Upload則是數千個jQuery外掛程式中較受歡迎的其中一個,它是個上傳工具,能以拖曳方式上傳各種檔案到不同的伺服器平台。

Cashdollar檢驗了jQuery File Upload的程式碼之後發現,他能夠上傳一個介殼程式到伺服器上並執行命令,也確定其它以jQuery File Upload為基礎的專案也隱匿著同樣的漏洞,於是他通知了jQuery File Upload的作者Sebastian Tschan。

Tschan一開始有些摸不著頭緒,後來才察覺是因為Apache HTTP Server在2010年釋出的2.3.9版在預設上關閉了.htaccess功能,.htaccess主要存放與文件夾相關的安全設定,而jQuery File Upload正巧是仰賴.htaccess來實踐用戶所上傳文件夾的安全限制。

總之,Tschan在收到Cashdollar通知後已經更改了jQuery File Upload的程式碼,只允許使用者上傳內容型態的影像檔案,修補了此一代號為CVE-2018-9206的安全漏洞。

此外,迄今已有7,828個基於jQuery File Upload的分支,Cashdollar指出,大多數的分支都含有CVE-2018-9206漏洞,代表任何被應用在生產環境中的相關專案都可能蒙受檔案上傳與程式執行風險,諸如允許駭客執行程式以竊取資料,或是植入惡意程式及竄改網頁等。

儘管該漏洞已存在8年而未被公開,但相關的開採方式已在網路上流傳至少3年,Cashdollar呼籲jQuery File Upload專案的分支及採用這些專案的平台都必須重新展開安全性評估。


Advertisement

更多 iThome相關內容