Um pesquisador de segurança descobriu um arquivo jQuery Carregar Plugin Zero-Day vulnerabilidade que permite que hackers para abusar de milhares de sites. A falha foi anunciado ao público juntamente com o fato de que este plugin como adotado por muitos serviços e plataformas.
CVE-2018-9206: A vulnerabilidade Plugin Zero-Day Carregar Arquivo jQuery pode ser facilmente abusado por hackers
O recente anúncio de um arquivo jQuery Carregar Plugin vulnerabilidade zero-day fez manchetes em ambos os usuários de computadores comuns e comunidades especializadas. A razão para isso é o fato de que muitos serviços online, sites e plataformas de usar esse componente. De acordo com relatório publicado pelo pesquisador de segurança o pacote está sendo ativamente explorada por hackers de computador em todo o mundo.
O upload do arquivo jQuery é um dos widgets jQuery mais amplamente utilizados que permite aos usuários fazer upload de arquivos para o respectivo site - seleção de arquivo múltipla é possível, ao lado de arrasto & apoio queda. Este plugin também permite a visualização de barras de progresso, telas de validação e visualização, bem como multimídia reprodução de ambos os conteúdos de áudio e vídeo. O plug-in é usado em todos os tipos de ambientes e plataformas, o que torna a instância muito perigoso.
O plugin foi encontrado para colocar dois arquivos que são colocados na “arquivos” diretório do caminho de raiz do servidor web. Como efeito da presente hackers pode carregar scripts de malware e comandos executados nos hosts vítima. Consequentemente cada site que usa versões sem patch do arquivo jQuery Carregar Plugin é afetado. Uma rápida pesquisa na Internet mostra que existem inúmeros tutoriais, como fazer vídeos e demonstrações mesmo gravados em ensinar atores maliciosos como executar ataques.
As notas pesquisador de segurança que o comportamento jQuery está ligado à maneira como as operações de identificadores de arquivo do servidor web Apache. O CVE-2018-9206 emitiu consultivo quando implementada só permite o upload de arquivos a ser da “imagem” tipo de conteúdo. Isso evita que desembolsar scripts e outros arquivos potencialmente perigosos para ser carregado ou executado pelo servidor. O texto completo do comunicado é a seguinte:
Enviar Arquivo widget com seleção de arquivo múltipla, arrasto&apoio queda, Barra de progresso, imagens de validação e visualização, áudio e vídeo para jQuery. Suportes de vários domínios, fragmentada e upload de arquivos resumable. Funciona com qualquer plataforma de servidor (Google App Engine, PHP, Pitão, Ruby on Rails, Java, etc.) que suporta HTML padrão upload de arquivos forma.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: