发布日期：2009-07-03
更新日期：2009-07-06

受影响系统：

FCKeditor FCKeditor <= 2.6.4

不受影响系统：

FCKeditor FCKeditor 2.6.4.1

描述：

---

CVE(CAN) ID: CVE-2009-2324,CVE-2009-2265

FCKeditor是一款开放源码的HTML文本编辑器。

FCKeditor没有正确地验证用户对多个connector模块所传送的输入，远程攻击者可以利用samples目录中的组件注入任意脚本或HTML，或通过目录遍历攻击上传恶意文件。

<*来源：Andrea Barisani
  
  链接：http://marc.info/?l=bugtraq&m=124663715616221&w=2
        http://secunia.com/advisories/35712/
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 从editor\filemanager\connectors中删除不使用的连接器
* 在config.ext中禁用文件浏览器
* 完全删除_samples目录

厂商补丁：

FCKeditor
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.fckeditor.net/

浏览次数：3804
严重程度：0（网友投票）