Github上第二受欢迎的jQuery插件，竟有一个潜伏三年的0day漏洞

Posted 2021-04-08 看雪学院

黑客在至少三年时间里利用一个流行 jQuery 插件的 0day 漏洞植入 Web shells，控制存在漏洞的 Web 服务器。这个插件是 jQuery File Upload，由德国天才开发者 Sebastian Tschan aka Blueimp开发，是 GitHub 平台上仅次于 jQuery 框架本身，第二受欢迎的 jQuery 项目，被整合到数以百计的项目中。

 jQuery File Upload：

文件上传小工具，包含多个文件选择：拖放支持，进度条，验证和预览图像，jQuery的音频和视频。支持跨域，分块和可恢复文件上传以及客户端图像大小调整。适用于支持标准html表单文件上载的任何服务器端平台（php，Python，Ruby on Rails，Java，Node.js，Go等）。

Akama 的安全研究员 Larry Cashdollar 今年早些时候在插件处理文件上传的源代码里发现了漏洞，该漏洞允许攻击者向服务器上传恶意文件，如后门和 Web shells。

这个漏洞是早已是黑客之间不是秘密的秘密，已被广泛利用，至少从 2016 年就开始了，但信息安全权

Cashdollar发现了几个YouTube视频，其中包含有关如何利用jQuery文件上载插件漏洞接管服务器的教程。 

（图片来源：ZDNet）

该漏洞本月早些时候被标识为CVE-2018-9206，这是让更多人关注的好起点。

开发者已经释出了 9.22.1版本，修复了漏洞，而9.22.1之前的所有jQuery文件上传版本都很容易受到攻击。

Blueimp 解释了这个漏洞存在的原因：Apache v.2.3.9 的默认设置是不读取 .htaccess 文件，而他犯下的错误在于依赖于.htaccess 去执行安全控制。他测试的 Apache 服务器启用了.htaccess，所以他从来没有去检查服务器的默认设置，而Apache 服务器从 v.2.3.9 起默认不启用 .htaccess。         

Cashdollar也表示，互联网每天都依赖于许多安全控制措施，以确保人们的系统、数据和交易安全可靠。如果其中一个控件突然不存在，它可能会在不知情的情况下将安全风险置于依赖它的用户和软件开发人员身上。

识别所有受影响的项目并解决漏洞需要数年时间。过去已经多次证明，漏洞往往会持续很长时间，特别是在更复杂的项目中根深蒂固插件中的漏洞，例如CRM，CMS，博客平台或企业解决方案。

参考来源：

• ZDNet

  
  

- End -

往期热门资讯：                                        

商务合作：wsc@kanxue.com