Ein Sicherheitsforscher hat eine jQuery Datei-Upload-Plugin Zero-Day-Schwachstelle entdeckt, die Hacker ermöglicht Tausenden von Websites zu missbrauchen. Der Fehler wurde neben der Tatsache der Öffentlichkeit bekannt, dass dieses Plugin wie von vielen Dienste und Plattformen angenommen.
CVE-2018-9206: Die jQuery Datei-Upload-Plugin Zero-Day-Schwachstelle kann leicht durch Hacker mißbraucht werden
Die jüngste Ankündigung eines jQuery Datei-Upload-Plugin Zero-Day-Schwachstelle Schlagzeilen über beide gewöhnlichen Computer-Anwender und Fachgemeinschaften gemacht hat. Der Grund dafür ist die Tatsache, dass viele Online-Dienste, Websites und Plattformen nutzen diese Komponente. Entsprechend der veröffentlichte Bericht durch die Sicherheitsforscher das Paket wird durch Computer-Hacker weltweit aktiv ausgenutzt.
Der jQuery Datei-Upload eine der am weitesten verbreiteten jQuery-Widgets, die Benutzer Dateien auf die jeweilige Website hochladen kann - die Auswahl mehrerer Dateien ist möglich, neben Drag & Drop-Unterstützung. Dieses Plugin ermöglicht auch die Visualisierung von Fortschrittsbalken, Validierung und Vorschaubild, sowie Multimedia-Wiedergabe von Audio- und Videoinhalten. Das Plugin ist für alle Arten von Umgebungen und Plattformen verwendet, die die Instanz macht sehr gefährlich.
Das Plugin wurde gefunden, zwei Dateien zu platzieren, die in dem platziert “Dateien” Verzeichnis des Root-Pfad des Webservers. Als Auswirkung davon Hacker können Malware-Skripten und Ausführen von Befehlen auf den Opfer-Hosts laden. Folglich jede Seite, die ungepatchte Versionen der jQuery Datei-Upload-Plugin verwendet wird betroffen. Eine schnelle Suche im Internet zeigt, dass es zahlreiche Tutorials, Anleitungsvideos und sogar aufgezeichnete Demonstrationen auf der Vermittlung von böswilligen Akteuren wie Angriffe auszuführen.
Der Sicherheitsexperte stellt fest, dass das jQuery Verhalten die Art und Weise verbunden ist, die Apache-Webserver Dateioperationen behandelt. Der ausgegebenen CVE-2018-9206 Beratungs wenn nur implementiert ermöglicht das Hochladen von Dateien von der sein “Bild” Inhaltstyp. Dies verhindert, dass Shell-Skripte und andere potentiell gefährliche Dateien vom Server hochgeladen oder ausgeführt werden. Der vollständige Wortlaut des Beratungs ist die folgende:
Datei-Upload-Widget mit mehrere Dateiauswahl, ziehen&Drop-Unterstützung, Fortschrittsanzeige, Validierung und Vorschaubild, Audio und Video für jQuery. Unterstützt Cross-Domain, gestückelt und fortsetzbar Datei-Uploads. Funktioniert mit jeder Server-Side-Plattform (Google App Engine, PHP, Python, Ruby on Rails, Java, usw.) dass unterstützt Standard-HTML-Formular Datei-Uploads.