חולשה בתוסף jQuery התגלתה לאחר שלוש שנים

התגלתה פגיעות המשפיעה על תוסף העלאת קובץ jQuery בשם jQuery file upload שנכתב על ידי מפתח גרמני בשם סבסטיאן טצ'אן, הידוע בעיקר בשם Blueimp. כך לפי פרסום של zdnet. התוסף הוא השני ביותר המסומן בכוכבית בפרוייקט בGitHub, לאחר מסגרת jQuery עצמו. הוא מאוד פופולרי ומשולב לתוך מאות, אם לא אלפים, של פרויקטים אחרים, כגון CMSs, CRMs, פתרונות אינטראנט, תוספים וורדפרס, תוספי דרופל, רכיבי ג'ומלה, ועוד.

פגיעות בתוסף זה תהיה הרסנית, היות והיא יכולה לפתוח חורי אבטחה בהרבה פלטפורמות מותקנות בהרבה מקומות רגישים. התרחיש הזה הוא בדיוק מה שקרה. מוקדם יותר השנה, לארי קאשדולאר, חוקר אבטחה של צוות ה- SIRT בקבוצת Akamai, גילה פגיעות בקוד המקור של הפלאגין המטפל בהעלאת קבצים לשרתי PHP. המשמעות היא כי תוקפים יכולים לנצל לרעה את הפגיעות הזו כדי להעלות קבצים זדוניים לשרתים.

החקירה סביב הנושא זיהתה את המקור האמיתי של הפגיעות, לא בקוד של הפלאגין, אלא בשינוי שבוצע בפרויקט Apache Web Server מאז 2010. שינוי אשר השפיע באופן עקיף על ההתנהגות הצפויה של התוסף בשרת Apache.

קאשדולאר מסביר בפוסט  בblogs.akamai.com כי הכשל נובע מביטול תמיכה לקובץ .htaccess מצד מתחזקי שרת Apache כדי לשפר ביצועים ולמנוע ממשתמשים לעקוף מרכיבי אבטחת מידע. "כך שלאפאצ'י היו סיבות טובות להשבית את .Htaccess, אבל השינויים שלהם השאירו כמה מפתחים ופרויקטים שלהם פתוחים לתקיפה, במיוחד אם הם הסתמכו על.HTaccess כפונקציית אבטחה", כותב החוקר. השינוי אפשר לתוקפים לנצל את התוסף כדי להעלות קבצים לשרתי PHP.