Coalition assure une surveillance continue de nos assurés pour détecter les nouveaux risques qui peuvent affecter leur sécurité.
CVE-2018-9206 documente une vulnérabilité activement exploitée dans le plugiciel jQuery File Uploader divulgué de manière responsable par le chercheur Larry Cashdollar au gestionnaire du plugiciel le 9 octobre 2018 et plus largement divulgué plus tard en octobre, après que le gestionnaire du plugiciel a fourni une correction.
Pourquoi vous en préoccupez-vous?
Cette vulnérabilité permet aux pirates de téléverser et d’exécuter des fichiers sur votre serveur s’ils sont exploités. Ces fichiers peuvent être des portes dérobées, des coques Web ou tout autre élément malveillant.
Par exemple, ces fichiers pourraient permettre le commandement et le contrôle de votre site Web, ce qui signifie qu’un attaquant pourrait contrôler ou modifier complètement votre site Web ou y accéder. Ce type d’accès est couramment utilisé pour voler des informations, héberger des trousses d’hameçonnage pour recueillir les identifiants d’autres personnes, déployer des rançongiciels à vos clients ou pirater vos ressources pour « miner » des cryptomonnaies (appelées cryptojacking).
Comment résoudre le problème
La version courte :
-
Passez à la dernière version de jQuery File Upload . La première version avec une correction est v9.24.1
-
Configurez votre serveur Web pour ne pas exécuter de fichiers dans le répertoire de téléversement, par exemple avec l’exemple de configuration Apache
Encore une fois, si vous êtes vulnérable, l’omission d’effectuer ces mises à jour pourrait faire en sorte que les pirates soient en mesure de téléverser et d’exécuter des fichiers sur votre serveur.
Qu’est-ce que jQuery?
jQuery est une bibliothèque JavaScript conçue pour simplifier le script HTML côté client afin d’ajouter des fonctionnalités aux sites Web et aux applications Web. jQuery est un logiciel libre, et l’analyse indique que jQuery est la bibliothèque JavaScript la plus largement déployée en grande partie.
Qu’est-ce que jQuery File Uploader?
Ce plugiciel jQuery très populaire crée un widget de téléchargement de fichiers avec une sélection de fichiers multiples, une prise en charge de type « glisser&-déposer », des barres de progression, des images de validation et d’aperçu, ainsi que des fichiers audio et vidéo pour la bibliothèque jQuery. Ce plugiciel prend en charge les téléversements de fichiers multidomaines, groupés et réutilisables et le redimensionnement des images côté client, et fonctionne avec n’importe quelle plateforme côté serveur (PHP, Python, Ruby on Rails, Java, Node.js, Go, etc.) qui prend en charge les téléversements de fichiers de formulaires HTML normaux.