АтакиВсички новиниТоп новиниУязвимости

Новооткрита уязвимост в плъгин за jQuery може да се експлоатира от 3 години

Проблемът засяга един от най-популярните плъгини jQuery File Upload

Един от най-популярните плъгини за jQuery е имал уязвимост, която е съществувала от 8 години и е била експлоатирана от поне 3 години. Уязвимостта засяга jQuery File Upload, която добавя в сайтовете функционалност за качване на файлове. Тя позволява качването на „задни вратички“ и скриптове на уеб сървъра.

Откриетието е направено от компанията за облачни услуги Akamai заедно с разработчика на плъгина Себастиан Чан. Когато той публикува кода на плъгина през 2010 г., jQuery File Upload разчита на персонализиран .htaccess файл. Работата на файла е да задава и ограничава достъп до папките в плъгина.

Това, което Чан не знае, е, че буквално дни по-рано е пуснат Apache 2.3.9, в който има нова настройка за сигурност. Тя дава възможност на сървъра да пренебрегне настройките за достъп в отделните .htaccess файлове. Това на практика неутрализира ограниченията за сигурност, зададени в jQuery File Upload. Но тъй като Чан тества плъгина само на по-стари версии на Apache, той никога не разбира това.

Други обаче са го разбрали. Според BleepingComputer в Youtube имат клипчета, които показват как тази уязвимост може да се експлоатира. Едно от тях е качено през 2015 г., което означава, че за определени хора уязвимостта е била известна поне от 3 години.

Уязвимостта е отстранена в най-новата версия на плъгина.

Съвети за потребителите, които използват jQuery File Upload в сайтовете си

Обновете версията на плъгина с най-новата (9.22.1);

Разрешете качването само на изображения (авторът предоставя примерен код как да се случи това);

Конфигурирайте уебсървъра си така, че да не изпълнява скриптове в директорията за качване на файлове (примерна конфигурация);

Тагове
Покажи още

Христо Петров

Информационната сигурност е тема, която незаслужено бива неглижирана от повечето потребители и медии. А не трябва, защото тя засяга всичко в модерния свят: от свързания към интернет тостер в кухнята до хакерските атаки, които струват на бизнеса милиарди долари всяка година.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

Back to top button
Close