【CSDN編者按】作為 GitHub 平台上僅次於 jQuery 框架本身第二受歡迎的 jQuery 項目，流行插件 jQuery File Upload 被整合到了數以千計的項目中。但是近日其卻被曝出存在嚴重的「零日漏洞」，黑客們在長達三年的時間裡一直在利用它控制存在漏洞的 Web 伺服器！

雖然目前開發者已修復了該漏洞，但據統計，由原始的 jQuery File Upload 插件衍生出來的所有項目中只有 36 個沒有漏洞，因此，後續平台項目的安全修復工作還需要很長的時間來進行。

以下為譯文：

據外媒ZDNet近日報道，最受歡迎的jQuery插件——jQuery File Upload中出現了一個零日漏洞，黑客們能夠利用該漏洞來植入黑客腳本，控制有漏洞的伺服器。而編寫該插件的是德國天才開發者Sebastian Tschan，也就是GitHub上廣為人知的Blueimp（https://github.com/blueimp）。

1.jQuery File Upload插件漏洞極具破壞性

據悉，目前該插件在GitHub最受歡迎的jQuery項目中位居第二位，僅次於jQuery框架本身。該腳本非常受大眾歡迎，下載次數超過7800次，並且已經集成到數百個甚至數千個其他項目中，例如CMSs、CRMs、Intranet解決方案，WordPress插件，Drupal附加組件，Joomla組件等等。

今年早些時候，Akamai安全情報響應小組的安全研究員Larry Cashdollar卻在該插件的源代碼中發現了一個漏洞，而這些源代碼負責的是處理文件上傳到PHP伺服器。Cashdollar表示，攻擊者可以濫用該漏洞將惡意文件上傳到伺服器，例如開後門和植入黑客腳本等。因此，該漏洞極具破壞性，它會在許多安裝了相關插件的平台上破開安全漏洞。更糟糕的是，影響還在繼續。

報道還表示，該漏洞已被大肆利用。Cashdollar在接受ZDNet採訪時還提到：「我早在2016年就見過這些東西。」他此前曾發現多個YouTube視頻詳細講解如何利用jQuery File Upload插件的漏洞來控制伺服器。有一個的創建日期甚至在2015年8月——看起來甚至在2016年以前就已經被大肆利用了。

基於此圖可以想到，這個對於信息安全社區來說仍是謎團重重的漏洞，很可能在黑客世界中是廣為人知的一件事了。

據了解，jQuery File Upload 9.22.1之前的所有版本都有這個漏洞，且由於該漏洞影響的是PHP應用程序文件上傳的代碼，所以用其他語言實現的伺服器端應該是安全的。

2.漏洞源於2010年Apache HTTPD伺服器的版本更改

本月初，Cashdollar向Blueimp報告了該零日漏洞，而Blueimp也迅速對報告展開了調查。「現在我們正在盡量讓更多的人都知道這個漏洞」。本月早些時候該漏洞被命名為CVE-2018-9206，也正式引起了更多人的關注。

開發者Sebastian Tschan通過調查發現，該漏洞真正來源不在插件的代碼中，而是因為Apache網路伺服器在2010年做過的一次變更，這才間接影響了插件在Apache伺服器上的預期行為。

問題可以追溯到2010年11月23日，就在Blueimp推出該插件首發版本的前五天。那天，Apache基金會發布了Apache HTTPD伺服器2.3.9版。

這個版本並沒有特別之處，但它包含了一個安全方面的重大變化。從這個版本開始，Apache HTTPD伺服器加入了一個選項，伺服器所有者可以忽略.htaccess文件對各個文件夾進行的自定義安全設置——該設置是出於安全原因而創建的，默認情況下處於啟用狀態，並且會在所有後續Apache HTTPD伺服器版本中保持該設置不變。而Blueimp的jQuery File Upload插件在編碼時依賴自定義的.htaccess文件對其上傳文件夾施加安全限制，卻沒料想Apache HTTPD團隊做出了破壞插件基本設計的重大改變。

Cashdollar在最新發布的一份報告中說：「互聯網每天都依賴於許多安全控制措施，才能保證我們的系統、數據和交易安全可靠。如果其中一個控制突然不存在了，那麼它勢必會在不知情的情況下將依賴這些控制的用戶和軟體開發人員置於安全風險之中。」

3.後續漏洞修復工作會很艱巨

自從Blueimp報告了他那邊的發現以來，Cashdollar一直在花時間研究這個漏洞的影響範圍。他做的第一件事就是查看GitHub上由原始插件衍生出來的所有其他分支。

Cashdollar表示，「我從GitHub上的7800個插件中抽查了1000個，結果發現它們都有該漏洞。」他測試所用的代碼以及實際缺陷的概念驗證都在GitHub上做了分享（https://github.com/lcashdol/Exploits/tree/master/CVE-2018-9206）。截至目前測試發現，由原始的jQuery File Upload插件衍生出來的所有項目中，只有36個沒有該漏洞。

「但是調查GitHub上的分支只是第一步，我們仍然還有很多工作要做，因為還有許多項目仍未經測試。」研究人員已經通知了US-CERT（計算機安全應急響應組）該漏洞及其可能造成的影響。Cashdollar表示下一步是向GitHub尋求幫助，通知所有利用了該插件的項目所有者。例如Tajer，這是一個WordPress的插件，Cashdollar已經確認該插件有這個漏洞。該插件的下載次數非常少，目前WordPress插件官方代碼庫已將其刪除，無法再下載了。

找到所有受影響的項目，並完全修復該漏洞可能還需要數年時間。歷史經驗證明，漏洞往往會持續很長時間，特別是在複雜的項目中已根深蒂固的插件漏洞，例如在CRMs、CMSs、博客平台或企業解決方案等項目中。

原文：https://www.zdnet.com/article/zero-day-in-popular-jquery-plugin-actively-exploited-for-at-least-three-years/

作者：Catalin Cimpanu，ZDNet安全記者，負責網路安全、數據泄露、黑客攻擊和其他主題。曾擔任Bleeping Computer和Softpedia安全記者。

譯者：彎月，責編：郭芮

_「徵稿啦_」

CSDN 公眾號秉持著「與千萬技術人共成長」理念，不僅以「極客頭條」、「暢言」欄目在第一時間以技術人的獨特視角描述技術人關心的行業焦點事件，更有「技術頭條」專欄，深度解讀行業內的熱門技術與場景應用，讓所有的開發者緊跟技術潮流，保持警醒的技術嗅覺，對行業趨勢、技術有更為全面的認知。

如果你有優質的文章，或是行業熱點事件、技術趨勢的真知灼見，或是深度的應用實踐、場景方案等的新見解，歡迎聯繫 CSDN 投稿，聯繫方式：微信（guorui_1118，請備註投稿+姓名+公司職位），郵箱（guorui@csdn.net）。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！