流行 jQuery 插件 0day 漏洞被利用至少三年

黑客在至少三年时间里利用一个流行 jQuery 插件的 0day 漏洞植入 Web shells 控制存在漏洞的 Web 服务器。这个插件是 jQuery File Upload，其作者为德国开发者 Sebastian Tschan aka Blueimp，它是 GitHub 平台上仅次于 jQuery 框架本身第二受欢迎的 jQuery 项目，被整合到数以百计的项目中。Akama 的安全研究员 Larry Cashdollar 今年早些时候在插件处理文件上传的源代码里发现了漏洞，该漏洞允许攻击者向服务器上传恶意文件，如后门和 Web shells。Cashdollar 称这个漏洞已被广泛利用，至少从 2016 年就开始了。开发者已经释出了 9.22.1 修复了漏洞。Blueimp 解释了这个漏洞存在的原因：Apache v.2.3.9 的默认设置是不读取 .htaccess 文件，而他犯下的错误在于依赖于 .htaccess 去执行安全控制。他测试的 Apache 服务器启用了 .htaccess，所以他从来没有去检查服务器的默认设置，而 Apache 服务器从 v.2.3.9 起默认不启用 .htaccess。