|
FCKeditor connectors模块多个跨站脚本及目录遍历漏洞
发布日期:2009-07-03
更新日期:2009-07-06
受影响系统:FCKeditor FCKeditor <= 2.6.4 不受影响系统:FCKeditor FCKeditor 2.6.4.1 描述:
CVE(CAN) ID: CVE-2009-2324,CVE-2009-2265
FCKeditor是一款开放源码的HTML文本编辑器。
FCKeditor没有正确地验证用户对多个connector模块所传送的输入,远程攻击者可以利用samples目录中的组件注入任意脚本或HTML,或通过目录遍历攻击上传恶意文件。
<*来源:Andrea Barisani
链接:http://marc.info/?l=bugtraq&m=124663715616221&w=2
http://secunia.com/advisories/35712/
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 从editor\filemanager\connectors中删除不使用的连接器
* 在config.ext中禁用文件浏览器
* 完全删除_samples目录
厂商补丁:
FCKeditor
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.fckeditor.net/
浏览次数:853
严重程度:0(网友投票)
|
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
