Joomla!/Mambo FCKeditor模块’Connector’本地文件包含漏洞

日期: 2012/09/19 | 标签: | 游览:281

漏洞起因
文件包含错误
危险等级

影响系统
mambo /joomla (fckeditor)

不受影响系统

危害
远程攻击者可以利用漏洞以WEB权限查看系统文件内容。

攻击所需条件
攻击者必须访问Mambo / Joomla的fckeditor模块。

漏洞信息
Mambo / Joomla是流行的内容管理系统。
Mambo / Joomla包含的fckeditor模块不正确过滤提交给’Connector’参数的数据,可通过目录遍历序列以WEB权限查看系统文件内容。

测试方法
http://www.example.com/mambots/editors/fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=../../../../../etc/passwd

厂商解决方案
目前没有详细解决方案提供:
http://www.joomla.org/
http://www.mambo-foundation.com/

漏洞提供者
BHG Security Center, Siavash

评论关闭。