0day v jQuery pluginu aktivně zneužívána poslední tři roky

Od Rychlofky

0day v jQuery pluginu aktivně zneužívána poslední tři roky. Oprava existuje, ale otázka je, kdy se rozšíří dostatečně. Problematický plugin je JQuery File Upload, umožňuje ovládnutí serveru. Nutno nepodceňovat, jde nejenom o jeden z nejoblíbenějších pluginů, ale také je zásadně rozšířený do dalších projektů v řadě dalších CMS/internetových dodatcích. Na YouTube dokonce najdete návody k zneužit. Viz Zero-day in popular jQuery plugin actively exploited for at least three years

2018-11-02 12_11_28-GitHub - blueimp_jQuery-File-Upload_ File Upload widget with multiple file selec.png