已修复漏洞列表


PHP + ImageMagick 的潜在漏洞


修复:2018-10-25 (GMT)

v9.25.1 之前的 PHP 处理示例在调用 ImageMagick(通过 Imagick)之前未校验文件头信息。

在处理的上传文件中出现 GIF/JPEG/PNG 以外的文件时,校验这些文件头可以规避潜在漏洞。

另外也请将 ImageMagick 配置为仅为 GIF/JPEG/PNG 处理启用编码器,例如,参见安全须知 ImageMagick 配置这个示例。

更多信息:

PHP 组件中的远程代码执行漏洞


修复:2018-10-23 (GMT)

v9.24.1 之前的 PHP 处理示例默认允许上传所有文件类型。

这些文件一旦被执行就可能产生一个远程代码执行漏洞,所以服务端在配置的时候不能去执行上传目录(server/php/files)中的 PHP 文件。

插件资源包中提供的 .htaccess 文件包含了 Apache 禁用脚本执行的内容,然而,自 Apache v2.3.9 之后,对于 AllowOverride 参数在默认情况下是不支持 .htaccess 的。译者注:AllowOverride 默认 None,表示 .htaccess 文件将被完全忽略。

出现以下情况会产生影响:

  1. A) 使用了 v9.24.1 之前版本的 jQuery FileUpload 插件,而且 Web 站点执行了扩展名中包含 .php 的文件(比如 example.php.png),例如,Apache 在加载 mod_php 模块时又配置了以下参数(我们不推荐这样子配置):
    AddHandler php5-script .php
    B) 使用了 v9.22.1 之前版本的 jQuery FileUpload 插件,而且 Web 站点执行了扩展名中包含 .php 的文件,例如,Apache 在加载 mod_php 时又配置以下参数:
    <FilesMatch \.php$>
      SetHandler application/x-httpd-php
    </FilesMatch>
  2. 没有主动配置 Web 服务器去禁止执行上传目录 (server/php/files) 中的文件。
  3. 使用了 v2.3.9 以上版本的 Apache,而且 AllowOverride 参数配置的是默认值 None。或者其他不支持 .htaccess 文件的 Webserver。

修复方法:

  1. jQuery FileUpload 插件升级到最新版本。
  2. 将 Web 站点配置为禁止执行上传目录中的文件,例如像安全须知 Apache config 中这样配置

更多信息:

GAE 组件中的开放式重定向漏洞


修复:2015-06-12 (GMT)

v9.10.1 之前的插件 Google App Engine 上传处理示例接受任何 URL 作为重定向目标,这可能使得该 Web 站点的域名成为网络钓鱼攻击的工具。

更多信息:

iframe 传输中的跨域脚本攻击漏洞


修复:2012-08-09 (GMT)

在代码提交 4175032在所有分支中已修复)之前 Iframe 传输重定向页面允许在 Web 站点中执行任意脚本。

更多信息: