jQuery-File-Upload <= 9.x 遠程命令執行漏洞

jQuery-File-Upload 是 Github 上繼 jQuery 之后最受關注的 jQuery 項目，該項目最近被披露出一個存在了長達三年之久的任意文件上傳漏洞，該漏洞在隨后發布的 v9.22.2 版本中被修復，但是在 VulnSpy 團隊對代碼的復查中發現了另外一個嚴重的命令執行漏洞，該漏洞允許攻擊者通過上傳惡意的圖片文件來執行任意系統命令。

漏洞細節

在 jQuery-File-Upload 的 PHP 上傳處理文件 /server/php/UploadHandler.php 中優先使用了 Imagick 來校驗上傳的圖片：

我們都知道 ImageMagick 在近幾年來出現了多個嚴重的安全漏洞：

More Ghostscript Issues: Should we disable PS coders in policy.xml by default?

CVE Request - multiple ghostscript -dSAFER sandbox problems

CVE Request: GraphicsMagick and ImageMagick popen() shell vulnerability via filename

因此我們可已直接通過上傳含有惡意代碼的圖片來利用該漏洞，按照老規矩，VulnSpy 已經準備好了在線的實驗環境，大家可以移步到下面鏈接進行測試：

在線測試地址：https://www.vulnspy.com/cn-jquery-file-upload-below-v9.x-rce/

如何修復

將 /server/php/UploadHandler.php 中的默認圖片處理庫修改為GD庫：