CVE-2018-9206: jQuery File Upload Plugin vulnérabilité Zero-Day affecte des milliers de sites
NOUVELLES

CVE-2018-9206: jQuery File Upload Plugin vulnérabilité Zero-Day affecte des milliers de sites

Un chercheur en sécurité a découvert un fichier jQuery Télécharger Plugin vulnérabilité Zero-Day qui permet aux pirates d'abuser des milliers de sites. La faille a été annoncée au public à côté du fait que ce plugin tel qu'adopté par de nombreux services et plates-formes.




CVE-2018-9206: Le fichier jQuery Télécharger Plugin vulnérabilité Zero-Day peut être facilement abusée par Hackers

L'annonce récente d'un fichier jQuery Télécharger Plugin vulnérabilité zero-day a fait les manchettes à travers les utilisateurs d'ordinateurs ordinaires et des communautés spécialisées. La raison de cela est le fait que de nombreux services en ligne, sites et plates-formes utilisent ce composant. Selon le rapport publié par le chercheur en sécurité le paquet est activement exploitée par des pirates de l'informatique dans le monde.

Le téléchargement de fichiers jQuery est l'un des plus largement utilisés widgets jQuery qui permet aux utilisateurs de télécharger des fichiers sur le site respectif - la sélection de plusieurs fichiers est possible, aux côtés de glisser & drop. Ce plugin permet également la visualisation des barres de progression, validation et l'aperçu, ainsi que la lecture multimédia à la fois le contenu audio et vidéo. Le plugin est utilisé dans tous les types d'environnements et plates-formes qui rend l'instance très dangereux.

Le plug-in a été trouvé pour placer deux fichiers qui sont placés dans le “fichiers” répertoire du chemin racine du serveur Web. Comme un effet de cette Les pirates peuvent télécharger des scripts malveillants et exécuter des commandes sur les hôtes victimes. Par conséquent, chaque site qui utilise des versions non patchées du fichier jQuery Upload Plugin est affecté. Une recherche rapide sur Internet montre qu'il existe de nombreux tutoriels, comment faire des vidéos et a même enregistré des démonstrations sur l'enseignement des acteurs malveillants comment exécuter des attaques.

histoire connexes:
Les pirates informatiques abusent de la vulnérabilité CVE-2018-7600 Drupal en utilisant un nouvel exploit appelé Drupalgeddon2 à abattre des sites
CVE-2018-7600 Drupal Bug utilisé en Nouvelle-attaque

Le chercheur en sécurité note que le comportement jQuery est connecté à la façon dont le serveur gère web Apache opérations de fichiers. L'avis CVE-2018-9206 émis lorsque mis en œuvre que permet le téléchargement de fichiers à la “image” Type de contenu. Cela empêche les scripts shell et d'autres fichiers potentiellement dangereux à télécharger ou exécuter par le serveur. Le texte intégral de l'avis est le suivant:

widget File Upload avec la sélection de plusieurs fichiers, traîne&drop, barre de progression, validation et images aperçu, audio et vidéo pour jQuery. Prise en charge inter-domaines, le téléchargement de fichiers et chunked réactivables. Fonctionne avec toute plate-forme côté serveur (Google App Engine, PHP, Python, Ruby on Rails, Java, etc) qui prend en charge le téléchargement de fichiers de format standard HTML.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages - Site Internet

Suivez-moi:
GazouillementGoogle Plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...