jquery-picture-cut 任意文件上传（CVE-2018-9208）

CVE-2018-9208 是一个关于 jQuery Picture Cut 插件的安全漏洞，该漏洞允许未授权的攻击者利用上传机制绕过设计意图限制的文件上传，可能导致文件泄露或服务器操作。

解决方法：

1. 更新 jQuery Picture Cut 插件到最新版本，这通常会修复该漏洞。

2. 如果你不能更新，可以考虑以下措施：

   • 移除 jquery.picture.cut.js 中的 file_upload 函数。
   • 确保上传的文件名是唯一的，并且不容易被攻击者猜测。
   • 对上传的文件进行安全检查，例如检查文件类型和大小。
   • 限制上传文件的目录权限，只对特定的上传目录有写权限。
   • 使用文件内容检查代替文件扩展名检查，以进一步确保文件安全。

以下是一个简单的示例代码，用于移除或修改 file_upload 函数：

// 假设你已经加载了 jquery.picture.cut.js 文件
 
// 移除 file_upload 函数
delete $.fn.pictureCut.file_upload;
 
// 或者修改 file_upload 函数以增加安全措施
$.fn.pictureCut.file_upload = function(settings, file) {
    // 你的安全逻辑代码
    // ...
};
 
// 初始化 jQuery Picture Cut 插件
$('#your-element').pictureCut({
    // 其他设置
    // ...
});

请注意，修改插件源代码应该只在你了解其工作原理，并且确信这样做不会影响插件其他功能的前提下进行。如果你不熟悉插件的内部工作机制，建议寻求一个专业的安全服务来帮助解决问题。