Zero-day w popularnej wtyczce jQuery.upload

Październik 22, 2018 14:14


img

Uwaga na wtyczkę jquery.upload

Jak podaje portal zdnet.com:

Wtyczka jest drugim najbardziej zagnieżdżonym projektem jQuery na GitHub, po samym frameworku jQuery. Jest niezmiernie popularna, i został forkowana ponad 7 800 razy i została zintegrowana z setkami, jeśli nie tysiącami innych projektów, takich jak CMS, CRM, rozwiązania Intranet, wtyczki WordPress, dodatki Drupal, komponenty Joomla itd. .

Luka w tej wtyczce może być katastrofalna, ponieważ może otworzyć luki w zabezpieczeniach na wielu platformach zainstalowanych w wielu wrażliwych miejscach.

Dodatek do pliku jQuery File Upload firmy Blueimp został zakodowany tak, aby polegać na niestandardowym pliku .htaccess w celu nałożenia ograniczeń bezpieczeństwa na swój folder wysyłania, nie wiedząc, że pięć dni wcześniej zespół Apache HTTPD wprowadził przełomową zmianę, która podważyła podstawowy projekt wtyczki.

Luka w zabezpieczeniach otrzymała identyfikator CVE-2018-9206 na początku tego miesiąca, co stanowi dobry punkt wyjścia do zwrócenia uwagi na więcej osób.

Podatne są wszystkie wersje wtyczki < 9.22.1

Jak pisze zdnet.com cyt.:

„Zlokalizowanie wszystkich projektów, których dotyczy luka, a przełamanie tej luki zajmie lata. Jak wielokrotnie udowodniono w przeszłości, luki w zabezpieczeniach utrzymują się długo, szczególnie w przypadku luk w pluginach, które były głęboko zakorzenione w bardziej złożonych projektach, takich jak CRM, CMS, platformy blogowe lub rozwiązania dla przedsiębiorstw.”

Źródła:

https://www.zdnet.com/article/zero-day-in-popular-jquery-plugin-actively-exploited-for-at-least-three-years/
https://sekurak.pl/jquery-upload-plugin-latwy-sposob-na-przejmowanie-calych-serwerow/

Zabezpiecz się przed atakami zero-day!

O zabezpieczeniach naszego Hostingu WWW dowiedz się więcej na naszej stronie hitme.pl.

Imunify360 – ochrona Hostingu WWW przed malware i atakami


Czytaj dalej