Le chercheur en sécurité informatique, Larry Cashdollar, vient de dévoiler une faille de sécurité dans le plugin jQuery File Upload, qu’on appelle Blueimp, et développé par Sebastian Tschan. Il s’agit du deuxième projet Linux, très prisé sur Github. Selon les recherches de Cashdollar, la vulnérabilité a déjà été exploitée, et des tutoriels de contrôle des serveurs sont déjà sur YouTube depuis 2015. C’est au début octobre que la faille a pris le nom de CVE-2018-9206. Ce qui signifie que les versions antérieures à 9.22.1 de jQuery FileUpload sont donc toutes vulnérables.
Selon Cashdollar, cette faille vient de la mise à jour apportée à Apache Web Server en 2010. La version 2.3.9 de HTTPD Apache avait devancé le lancement du plugin Bleimp. Or, elle permettait aux administrateurs les paramètres de sécurité des dossiers individuels. Sebastian Tschan a déjà apporté un correctif au code source dès que Blueimp a été mis au courant de la faille.
