Zero-day w popularnej wtyczce jQuery.upload

Uwaga na wtyczkę jquery.upload
Jak podaje portal zdnet.com:
Wtyczka jest drugim najbardziej zagnieżdżonym projektem jQuery na GitHub, po samym frameworku jQuery. Jest niezmiernie popularna, i został forkowana ponad 7 800 razy i została zintegrowana z setkami, jeśli nie tysiącami innych projektów, takich jak CMS, CRM, rozwiązania Intranet, wtyczki WordPress, dodatki Drupal, komponenty Joomla itd. .
Luka w tej wtyczce może być katastrofalna, ponieważ może otworzyć luki w zabezpieczeniach na wielu platformach zainstalowanych w wielu wrażliwych miejscach.
Dodatek do pliku jQuery File Upload firmy Blueimp został zakodowany tak, aby polegać na niestandardowym pliku .htaccess w celu nałożenia ograniczeń bezpieczeństwa na swój folder wysyłania, nie wiedząc, że pięć dni wcześniej zespół Apache HTTPD wprowadził przełomową zmianę, która podważyła podstawowy projekt wtyczki.
Luka w zabezpieczeniach otrzymała identyfikator CVE-2018-9206 na początku tego miesiąca, co stanowi dobry punkt wyjścia do zwrócenia uwagi na więcej osób.
Podatne są wszystkie wersje wtyczki < 9.22.1
Jak pisze zdnet.com cyt.:
„Zlokalizowanie wszystkich projektów, których dotyczy luka, a przełamanie tej luki zajmie lata. Jak wielokrotnie udowodniono w przeszłości, luki w zabezpieczeniach utrzymują się długo, szczególnie w przypadku luk w pluginach, które były głęboko zakorzenione w bardziej złożonych projektach, takich jak CRM, CMS, platformy blogowe lub rozwiązania dla przedsiębiorstw.”
Źródła:
https://www.zdnet.com/article/zero-day-in-popular-jquery-plugin-actively-exploited-for-at-least-three-years/
https://sekurak.pl/jquery-upload-plugin-latwy-sposob-na-przejmowanie-calych-serwerow/
Zabezpiecz się przed atakami zero-day!
O zabezpieczeniach naszego Hostingu WWW dowiedz się więcej na naszej stronie hitme.pl.