服務公告

全部公告 > 安全公告 > Apache jQuery-File-Upload未經(jīng)身份驗證的任意文件上傳漏洞（CVE-2018-9206）

Apache jQuery-File-Upload未經(jīng)身份驗證的任意文件上傳漏洞（CVE-2018-9206）

一、概要

近日研究人員發(fā)現(xiàn)apache jQuery-File-Upload <= v9.22.0中存在未經(jīng)身份驗證的任意文件上載漏洞（CVE-2018-9206）可以導致遠程代碼執(zhí)行，該漏洞exp已被公布，建議涉及的用戶盡快完成漏洞修復。

jQuery-File-Upload是一個應用廣泛的文件上傳工具，該漏洞的主要原因為jQuery File Upload的安全限制被繞過，通過該漏洞攻擊者可上傳web shell進而造成遠程命令執(zhí)行，漏洞威脅等級為嚴重。

參考鏈接：

二、漏洞級別

漏洞級別：【嚴重】

（說明：漏洞級別共四級：一般、重要、嚴重、緊急。）

三、影響范圍

漏洞影響Apache jQuery-File-Upload 9.22.0及以下版本。

四、安全建議

官方已經(jīng)在9.22.1更新中修復該漏洞，請及時更新。

注意：修復漏洞前請將資料備份，并進行充分測試。