セキュリティ研究者は、ハッカーが何千ものサイトを悪用できるjQueryファイルアップロードプラグインのゼロデイ脆弱性を発見しました. このプラグインが多くのサービスやプラットフォームで採用されているという事実とともに、この欠陥が一般に発表されました.
CVE-2018-9206: jQueryファイルアップロードプラグインのゼロデイ脆弱性は、ハッカーによって簡単に悪用される可能性があります
jQuery File Upload Pluginのゼロデイ脆弱性の最近の発表により、通常のコンピューターユーザーと専門家コミュニティの両方で話題になりました. この理由は、多くのオンラインサービスが, サイトとプラットフォームはこのコンポーネントを使用します. による 公開されたレポート セキュリティ研究者による このパッケージは、世界中のコンピューターハッカーによって積極的に悪用されています.
jQuery File Uploadは、ユーザーがそれぞれのサイトにファイルをアップロードできるようにする、最も広く使用されているjQueryウィジェットの1つです。複数のファイルを選択できます。, ドラッグと一緒に & ドロップサポート. このプラグインは、プログレスバーの視覚化も可能にします, 検証およびプレビュー画面, オーディオコンテンツとビデオコンテンツの両方のマルチメディア再生も同様です. プラグインはあらゆる種類の環境とプラットフォームで使用されるため、インスタンスは非常に危険です。.
プラグインは、に配置される2つのファイルを配置することがわかっています。 “ファイル” Webサーバーのルートパスのディレクトリ. この効果として ハッカーはマルウェアスクリプトをアップロードし、被害者のホストでコマンドを実行できます. その結果、パッチが適用されていないバージョンのjQueryファイルアップロードプラグインを使用するすべてのサイトが影響を受けます. インターネットで簡単に検索すると、チュートリアルが多数あることがわかります, ハウツービデオや、悪意のある攻撃者に攻撃の実行方法を教えるためのデモの記録もあります.
セキュリティ研究者は、jQueryの動作がApacheWebサーバーがファイル操作を処理する方法に関連していることに注目しています. 発行されたCVE-2018-9206アドバイザリは、実装時にファイルのアップロードのみを許可します “画像” コンテンツタイプ. これにより、シェルスクリプトやその他の潜在的に危険なファイルがサーバーによってアップロードまたは実行されるのを防ぎます。. アドバイザリの全文は次のとおりです:
複数のファイルを選択できるファイルアップロードウィジェット, 引っ張る&ドロップサポート, プログレスバー, 検証とプレビュー画像, jQueryのオーディオとビデオ. クロスドメインをサポート, チャンク化された再開可能なファイルのアップロード. 任意のサーバー側プラットフォームで動作します (Google App Engine, PHP, Python, Ruby on Rails, Java, 等) 標準のHTMLフォームファイルのアップロードをサポートします.