Уязвимость в jQuery поставила серверы под угрозу

Хакеры используют популярный плагин jQuery File Upload для внедрения вирусов и перехвата контроля над серверами. Уязвимость обнаружил специалист компании Akamai Ларри Кэшдоллар (Larry Cashdollar). Он заявил, что брешь используется минимум с 2015 года.

Что известно об уязвимости?

По словам специалиста, уязвимость CVE-2018-9206 существует во всех версиях jQuery File Upload до 9.22.1. Она затрагивает CMS и CRM-системы, плагины WordPress, Drupal, Joomla и другие. Кэшдоллар проанализировал тысячу форков плагина на GitHub и не нашёл уязвимость только в 36 случаях. Он опубликовал на GitHub инструмент для её поиска.

jQuery поддерживает множественную загрузку файлов на сервер. В их числе могут быть скрипты для перехвата управления или копирования данных. Кэшдоллар уведомил о бреши Компьютерную команду экстренной готовности США (US-CERT).

Приложение разработал немецкий программист Себастьян Чан (Sebastian Tschan), известный также как Blueimp. Он провёл собственный анализ уязвимости и выяснил, что проблема заключается в изменениях, добавленных в Apache Web Server в 2010 году. Сервер игнорирует пользовательские настройки некоторых директорий, если они выставлены через файл .htaccess. Эта функция активирована по умолчанию, начиная с версии Apache Web Server 2.3.9.

Какие меры предприняты?

В версии jQuery File Upload 9.22.1 проблема устранена. Теперь на сервер можно загружать только изображения, но не скрипты, текстовые файлы и прочее.

В сентябре 2018 года от использования jQuery отказался ресурс GitHub. Разработчики планируют постепенно перевести платформу на чистый JavaScript.