Уязвимость сайтов , использующих jQuery

Обнаружена уязвимость в популярном фреймворке jQuery, упрощающем создание современных web-сайтов. Компонент, отвечавший за загрузку файлов на сайт, содержал опасную уязвимость, позволяющую злоумышленнику взять под контроль сайт. Опасный код присутствовал в компоненте загрузки с 2010 года.

Компонент позволял злоумышленнику выполнить произвольный код на сайте, использующем jQuery и веб-сервер Apache. Под угрозой сайты, разработчики которых не отреагировали на документированные изменения в веб-сервере (отказ от поддержки файлов .htaccess начиная с версии 2.3.9).

Уязвимость получила код CVE-2018-9206. Исправления внесены в версию 9.22.1, но так как jQuery пользуется популярностью, то велика вероятность, что в его клонах (по данных GitHub, несколько тысяч) эта ошибка не будет исправлена ещё долго.

По мнению исследователя Ларри Кешдоллара (Larry Cashdollar), обнаружившего уязвимость, она уже в течение некоторого времени используется злоумышленниками. Он продемонстрировал тестовый код, позволяющий проверить необходимость обновления уязвимости на сайтах.


Возврат к списку