در افزونهی آپلود فایل jQuery یک آسیبپذیری شناسایی شده که هزاران برنامه که از آن استفاده میکنند را تحت تاثیر قرار میدهد. این آسیبپذیری در دنیای واقعی مورد بهرهبرداری قرار گرفته است. به این آسیبپذیری شناسهی CVE-2018-9206 اختصاص یافته و نسخههای قبلی و قدیمی که از سال ۲۰۱۰ منتشر شده را نیز تحت تاثیر قرار میدهد. در حال حاضر تقریبا ۷۸۰۰ فورک از این افزونه وجود داشته و بیشتر آنها این آسیبپذیری را دارند.
این افزونه با قابلیتهای زیادی که دارد در بسترهای سمت سرور بهطور گسترده مورد استفاده قرار گرفته و از آپلود فایلهای فرم HTML پشتیبانی میکند. محققان زمانی که منبع این افزونه را بررسی میکردند با دو فایل PHP با نامهای upload.php و UploadHandler.php مواجه شدند که در آنها کد آپلود فایل وجود دارد. این فایلها در مسیر روت سرور و در دایرکتوری files/ ذخیره شدهاند. این محققان توانستند از این موضوع استفاده کرده و شل وب را در این دایرکتوری آپلود و دستورات دلخواه را بر روی سرور اجرا کنند. در یک ارتباط مرورگری که وب سرور را با cmd=id تست می کند، شناسهی کاربری سروری که پردازهها را اجرا میکند، برگردانده میشود.
هر برنامهای که از این افزونه استفاده کرده باشد، تحت تاثیر این آسیبپذیری قرار گرفته و در یوتیوب ویدئوهایی برای بهرهبرداری از این آسیبپذیری بر روی برنامههای کاربردی مختلف وجود دارد. ظاهرا این اشکال به خاطر غیرفعال کردن .htaccess در آپاچی نسخهی ۲٫۳٫۹ رخ داده است. پیادهسازی PHP این کتابخانه برای دلایل امنیتی به .htaccess وابسته بوده و با غیرفعال کردن آن تحت تاثیر قرار گرفته است. این آسیبپذیری با اجاره دادن آپلود فایل از نوع تصویر content-type برطرف شده است. این آسیبپذیری برنامههایی را که تحت تاثیر قرار گرفتهاند در معرض خطراتی چون خروج دادهها، نصب بدافزار و دیگر حملات قرار میدهد.