受影响的版本:
FCKeditor 2.6.4(其他版本未测试.也可能存在)
描述:
FCKeditor,一个基于Web的开放源码的HTML文本编辑器,存在远程
文件上传漏洞.
FCKeditor是一款开放源码的HTML文本编辑器。
FCKeditor没有正确地验证用户对多个connector模块所传送的输入,远程攻击者可以利用samples目录中的组件注入任意脚本或HTML,或通过目录遍历攻击上传恶意文件。
CVE- 2009 – 2265
提供者:vulnerability report received from Vinny Guido <bigvin [at]
hushmail [dot] com>.
安全建议:
暂时办法
*删除未使用的connectors ‘editor\filemanager\connectors’
*禁用了文件浏览config.ext
*检查所有fckeditor文件夹在服务器上是否有可疑的文件可能已被利用上传,例如图片目录(例如: ‘fckeditor/editor/images/…’)远程攻击利用PHP扩展匹配的图像文件
*彻底删除’_samples’目录
固定版本:
FCKeditor 2.6.4.1 (待公布的2009年7月6日16:00 )中欧时间
0 条评论。