流行 jQuery 插件 0day 漏洞被利用至少三年

黑客在至少三年時間里利用一個流行 jQuery 插件的 0day 漏洞植入 Web shells 控制存在漏洞的 Web 服務器。這個插件是 jQuery File Upload，其作者為德國開發者 Sebastian Tschan aka Blueimp，它是 GitHub 平臺上僅次于 jQuery 框架本身第二受歡迎的 jQuery 項目，被整合到數以百計的項目中。Akama 的安全研究員 Larry Cashdollar 今年早些時候在插件處理文件上傳的源代碼里發現了漏洞，該漏洞允許攻擊者向服務器上傳惡意文件，如后門和 Web shells。Cashdollar 稱這個漏洞已被廣泛利用，至少從 2016 年就開始了。開發者已經釋出了 9.22.1 修復了漏洞。Blueimp 解釋了這個漏洞存在的原因：Apache v.2.3.9 的默認設置是不讀取 .htaccess 文件，而他犯下的錯誤在于依賴于 .htaccess 去執行安全控制。他測試的 Apache 服務器啟用了 .htaccess，所以他從來沒有去檢查服務器的默認設置，而 Apache 服務器從 v.2.3.9 起默認不啟用 .htaccess。