有数以千计的应用程序,受零点问题禁令文件上传插件

安全研究员发现了零天漏洞,跟踪为 CVE-2018-9206.自2010年以来影响旧版本的旧版本。

攻击者可以利用脆弱性,以实现几项恶意活动,包括污损,曝光和恶意软件感染。

缺陷由Akamai研究员Larry CashoLlar报道,他解释说,许多包括弱势代码的其他包可能会受到影响。

“此包已包含在各种其他包中以及项目中包含的此代码 Web Accessible path. It’在野外积极开发,“研究人员在一起 告诉 the plugin author.

这 jQuery文件上传 是一个jQuery小部件“具有多个文件选择,拖动&删除支持,进度条,验证和预览图像,音频和视频。“

该插件广泛地由支持标准HTML表单文件上传的众多服务器端平台:PHP,Python,Ruby上的Rails,Java,Node.js,Go等。

CashDollar在包的源中发现了两个名为Upload.php和UploadHandler.php的PHP文件,其中包含文件上传代码。

将文件上传到Web服务器的根路径中的文件/目录,因此专家用CURL和简单的PHP shell写了一个命令行测试,以确认可以在服务器上载一个Web shell并运行命令。

$ curl -F “[email protected]” http://example.com/jQuery-File-Upload-9.22.0/server/php/index.php

shell.php是:

<?PHP. $cmd=$_GET[‘cmd’]; system($ cmd);>

“使用CMD = ID浏览到测试Web服务器的浏览器连接返回了Web服务器的用户ID’■运行过程。我怀疑这个漏洞了’TOW TOODECTEDED,一个快速的谷歌搜索确认使用此代码或可能从其派生的代码的其他项目易受攻击。有一些YouTube视频演示了类似软件包的攻击。“ 写作专家

研究人员指出,利用插件的EVERT项目,指出,有一些YouTube PoC视频展示了对类似软件包的攻击的开发。

CashDollar也是如此 发表 概念验证(PoC)代码。

问题的根本原因是Apache禁用支持 .htaccess. 在2.3.9版本中提高性能(服务器没有’每次访问导演时都必须检查此文件),并防止用户覆盖服务器上配置的安全功能。

副作用是技术选择留下了一些开发人员及其项目开放攻击。

为了解决这些更改并更正CVE-2018-9206中的文件上传漏洞,在蓝色影响中,开发人员只允许文件上传是内容类型图像。

“互联网依赖于许多安全控制每天,以便保持我们的系统,数据和交易安全和安全。如果其中一个控件突然不起作用’存在它可能会在不知不觉中为依靠它们的用户和软件开发人员提供安全性。”总结专家。

“对于软件开发人员,审查您在项目开发期间的系统和库的更改是一个很好的主意。在上面的文章中,apache删除了安全控制,它不仅会删除蓝色的安全控制’S jQuery文件上传软件项目,但大多数叉式代码都分支。该漏洞影响了许多项目,这些项目从独立的Web应用程序到WordPress插件和其他CMS。”

皮奈里格帕加尼尼
主编辑
网络防御杂志

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请