服务公告
Apache jQuery-File-Upload未经身份验证的任意文件上传漏洞(CVE-2018-9206)
2018-10-22
一、概要
近日研究人员发现apache jQuery-File-Upload <= v9.22.0中存在未经身份验证的任意文件上载漏洞(CVE-2018-9206)可以导致远程代码执行,该漏洞exp已被公布,建议涉及的用户尽快完成漏洞修复。
jQuery-File-Upload是一个应用广泛的文件上传工具,该漏洞的主要原因为jQuery File Upload的安全限制被绕过,通过该漏洞攻击者可上传web shell进而造成远程命令执行,漏洞威胁等级为严重。
参考链接:
二、漏洞级别
漏洞级别:【严重】
(说明:漏洞级别共四级:一般、重要、严重、紧急。)
三、影响范围
漏洞影响Apache jQuery-File-Upload 9.22.0及以下版本。
四、安全建议
官方已经在9.22.1更新中修复该漏洞,请及时更新。
更新链接:https://github.com/blueimp/jQuery-File-Upload
注意:修复漏洞前请将资料备份,并进行充分测试。