AVIS CERTFR - 2018 - AVI - 503
Publié le 19 octobre 2018 à 17h58
Objet : Vulnérabilité dans Blueimp jQuery-File-Upload
Référence : CERTFR-2018-AVI-503
Risque(s)
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
Systèmes affectés
- Blueimp jQuery-File-Upload versions antérieures à 9.22.1 exécutées sur un serveur Apache de version supérieure à 2.3.9 avec une configuration par défaut (AllowOverride None)
Résumé
Une vulnérabilité a été découverte dans Blueimp jQuery-File-Upload. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Commit GitHub Blueimp du 13 octobre 2018
https://github.com/blueimp/jQuery-File-Upload/commit/aeb47e51c67df8a504b7726595576c1c66b5dc2f
- Référence CVE CVE-2018-9206
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9206
Dernière version du document