一、概要

近日研究人員發(fā)現(xiàn)apache jQuery-File-Upload <= v9.22.0中存在未經(jīng)身份驗(yàn)證的任意文件上載漏洞（CVE-2018-9206）可以導(dǎo)致遠(yuǎn)程代碼執(zhí)行，該漏洞exp已被公布，建議涉及的用戶盡快完成漏洞修復(fù)。

jQuery-File-Upload是一個(gè)應(yīng)用廣泛的文件上傳工具，該漏洞的主要原因?yàn)閖Query File Upload的安全限制被繞過，通過該漏洞攻擊者可上傳web shell進(jìn)而造成遠(yuǎn)程命令執(zhí)行，漏洞威脅等級(jí)為嚴(yán)重。

參考鏈接：

https://www.zdnet.com/article/zero-day-in-popular-jquery-plugin-actively-exploited-for-at-least-three-years/#ftag=RSSbaffb68

二、漏洞級(jí)別

漏洞級(jí)別：【嚴(yán)重】

（說明：漏洞級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

漏洞影響Apache jQuery-File-Upload 9.22.0及以下版本。

四、安全建議

官方已經(jīng)在9.22.1更新中修復(fù)該漏洞，請(qǐng)及時(shí)更新。

更新鏈接：https://github.com/blueimp/jQuery-File-Upload