Un ricercatore di sicurezza ha scoperto un file jQuery Plugin Carica Zero-Day vulnerabilità che consente agli hacker di abuso migliaia di siti. La falla è stata annunciata al pubblico accanto al fatto che questo plugin adottato da molti servizi e piattaforme.
CVE-2018-9206: Il File Upload jQuery Plugin Zero-Day vulnerabilità può essere facilmente abusato da hacker
Il recente annuncio di un file jQuery Plugin Carica vulnerabilità zero-day ha fatto notizia in entrambi i normali utenti di computer e delle comunità specializzate. La ragione di questo è il fatto che molti servizi online, i siti e le piattaforme utilizzano questa componente. Secondo rapporto pubblicato dal ricercatore di sicurezza il pacchetto è attivamente sfruttata da pirati informatici di tutto il mondo.
Il jQuery File Upload è uno dei widget jQuery più utilizzati che permette agli utenti di caricare file sul rispettivo sito - Selezione di file multipli è possibile, al fianco di trascinamento & drop. Questo plugin permette anche la visualizzazione di barre di avanzamento, schermi di validazione e anteprima, così come la riproduzione multimediale sia di contenuti audio e video. Il plugin è utilizzato in tutti i tipi di ambienti e piattaforme che rende l'istanza molto pericoloso.
Il plugin è stato trovato per posizionare due file che sono immessi nel “file” directory del percorso principale del server web. Per effetto di tale gli hacker possono caricare script di malware ed eseguire comandi su host vittima. Di conseguenza, ogni sito che utilizza le versioni senza patch del file jQuery Plugin Upload è influenzato. Una rapida ricerca su internet indica che ci sono numerosi tutorial, how-to video e dimostrazioni anche registrati su insegnare attori maligni come eseguire attacchi.
Il ricercatore di sicurezza osserva che il comportamento jQuery è connesso al modo in cui il web server Apache gestisce le operazioni sui file. L'advisory CVE-2018-9206 emesso quando implementata consente solo upload di file di essere della “Immagine” tipo di contenuto. Questo impedisce script della shell e altri file potenzialmente pericolosi per essere caricati o eseguiti dal server. Il testo integrale della consulenza è il seguente:
File Upload Widget con la selezione di file multipli, trascinare&drop, barra di avanzamento, immagini di validazione e anteprima, audio e video per jQuery. Supporta cross-domain, chunked e upload di file ripristinabili. Funziona con qualsiasi piattaforma server-side (Google App Engine, PHP, Pitone, Ruby on Rails, Giava, eccetera) che supporta il caricamento di file forma standard HTML.