FCKeditor connectors模塊多個跨站腳本及目錄遍歷漏洞
作者:佚名
腳本漏洞##遠程攻擊##立即處理[msg]影響版本: FCKeditor <= 2.6.4漏洞描述:
CVE(CAN) ID: CVE-2009-2324,CVE-2009-2265 FCKeditor是一款開放源碼的HTML文本編輯器。FCKeditor沒有正確地驗證用戶對多個connector模塊所傳送的輸入,遠程攻擊者可以利用samples目錄中的組件注入任意腳本或HTML,或通過目錄遍歷攻擊上傳惡意文件。
影響版本:
FCKeditor <= 2.6.4漏洞描述:
CVE(CAN) ID: CVE-2009-2324,CVE-2009-2265
FCKeditor是一款開放源碼的HTML文本編輯器。
FCKeditor沒有正確地驗證用戶對多個connector模塊所傳送的輸入,遠程攻擊者可以利用samples目錄中的組件注入任意腳本或HTML,或通過目錄遍歷攻擊上傳惡意文件。
<*參考 http://marc.info/?l=bugtraq&m=124663715616221&w=2 *>
SEBUG安全建議:
* 從editor\filemanager\connectors中刪除不使用的連接器
* 在config.ext中禁用文件瀏覽器
* 完全刪除_samples目錄
廠商補丁:
FCKeditor
目前廠商還沒有提供補丁或者升級程序,我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本:
http://www.fckeditor.net/
【編輯推薦】
責任編輯:安泉
來源:
安全中國
