Apache jQuery-File-Upload未经身份验证的任意文件上传漏洞（CVE-2018-9206）

一、概要

近日研究人员发现apache jQuery-File-Upload <= v9.22.0中存在未经身份验证的任意文件上载漏洞（CVE-2018-9206）可以导致远程代码执行，该漏洞exp已被公布，建议涉及的用户尽快完成漏洞修复。

jQuery-File-Upload是一个应用广泛的文件上传工具，该漏洞的主要原因为jQuery File Upload的安全限制被绕过，通过该漏洞攻击者可上传web shell进而造成远程命令执行，漏洞威胁等级为严重。

参考链接：

https://www.zdnet.com/article/zero-day-in-popular-jquery-plugin-actively-exploited-for-at-least-three-years/#ftag=RSSbaffb68

二、漏洞级别

漏洞级别：【严重】

（说明：漏洞级别共四级：一般、重要、严重、紧急。）

三、影响范围

漏洞影响Apache jQuery-File-Upload 9.22.0及以下版本。

四、安全建议

官方已经在9.22.1更新中修复该漏洞，请及时更新。

更新链接：https://github.com/blueimp/jQuery-File-Upload

注意：修复漏洞前请将资料备份，并进行充分测试。