FCKeditor connectors模块多个跨站脚本及目录遍历漏洞

基本字段

漏洞编号:
SSV-11759
披露/发现时间:
未知
提交时间:
2009-07-07
漏洞等级:
漏洞类别:
跨站脚本
影响组件:
FCKeditor
(2.6.4)
漏洞作者:
未知
提交者:
Knownsec
CVE-ID:
补充
CNNVD-ID:
补充
CNVD-ID:
补充
ZoomEye Dork:
补充

来源

漏洞详情

贡献者 Knownsec 共获得  1KB

CVE(CAN) ID: CVE-2009-2324,CVE-2009-2265

FCKeditor是一款开放源码的HTML文本编辑器。

FCKeditor没有正确地验证用户对多个connector模块所传送的输入,远程攻击者可以利用samples目录中的组件注入任意脚本或HTML,或通过目录遍历攻击上传恶意文件。

FCKeditor <= 2.6.4

  • 从editor\filemanager\connectors中删除不使用的连接器
  • 在config.ext中禁用文件浏览器
  • 完全删除_samples目录

厂商补丁:

FCKeditor

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.fckeditor.net/

fly520 共 5  兑换了

PoC (pocsuite 插件) (pocsuite 插件)

贡献者 fly520 共获得   4KB
登陆后兑换查看

共 2 兑换

参考链接

解决方案

临时解决方案

官方解决方案

升级到最新无漏洞版本

防护方案

生命线

  • 发现/披露了漏洞
  • 2009-07-07 提交了漏洞
  • 2009-07-07 提交补充了漏洞详情
  • 2015-12-23 提交更新了 PoC

相关漏洞

人气 1977
评论前需绑定手机 现在绑定

暂无评论

※本站提供的任何内容、代码与服务仅供学习,请勿用于非法用途,否则后果自负

京ICP备10040895号 京公网安备 11010502034610号 Copyright @ 404 Team from Knownsec. English