Apache jQuery-File-Upload未经身份验证的任意文件上传漏洞(CVE-2018-9206)

一、概要

近日研究人员发现apache jQuery-File-Upload <= v9.22.0中存在未经身份验证的任意文件上载漏洞(CVE-2018-9206)可以导致远程代码执行,该漏洞exp已被公布,建议涉及的用户尽快完成漏洞修复。

jQuery-File-Upload是一个应用广泛的文件上传工具,该漏洞的主要原因为jQuery File Upload的安全限制被绕过,通过该漏洞攻击者可上传web shell进而造成远程命令执行,漏洞威胁等级为严重。

参考链接:

https://www.zdnet.com/article/zero-day-in-popular-jquery-plugin-actively-exploited-for-at-least-three-years/#ftag=RSSbaffb68

二、漏洞级别

漏洞级别:【严重】

(说明:漏洞级别共四级:一般、重要、严重、紧急。)

三、影响范围

漏洞影响Apache jQuery-File-Upload 9.22.0及以下版本。

四、安全建议

官方已经在9.22.1更新中修复该漏洞,请及时更新。

更新链接:https://github.com/blueimp/jQuery-File-Upload

注意:修复漏洞前请将资料备份,并进行充分测试。