影响版本:

FCKeditor <= 2.6.4漏洞描述:

CVE(CAN) ID: CVE-2009-2324,CVE-2009-2265

FCKeditor是一款开放源码的HTML文本编辑器。

FCKeditor没有正确地验证用户对多个connector模块所传送的输入，远程攻击者可以利用samples目录中的组件注入任意脚本或HTML，或通过目录遍历攻击上传恶意文件。

<*参考  http://marc.info/?l=bugtraq&m=124663715616221&w=2 *>

SEBUG安全建议:

* 从editorfilemanagerconnectors中删除不使用的连接器

* 在config.ext中禁用文件浏览器

* 完全删除_samples目录

厂商补丁：

FCKeditor

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.fckeditor.net/

【编辑推荐】

1. 谷歌发布Android安全漏洞补丁修复两个DoS漏洞
2. 微软紧急发布SMBv2安全漏洞补丁缓解风险
3. 360安全卫士：打漏洞补丁防止微软“黑屏”

　　推荐阅读

　　phpMyAdmin SQL书签HTML注入漏洞

影响版本: phpMyAdmin 3.x漏洞描述: BUGTRAQ ID: 35543 CVE(CAN) ID: CVE-2009-2284 phpMyAdmin是用PHP编写的工具，用于通过WEB管理MySQL。 phpMyAdmin没有正确地过滤某些对SQL书签所传送的输入，远程攻击者可>>>详细阅读

本文标题：FCKeditor connectors模块多个跨站脚本及目录遍历漏洞

地址：http://www.17bianji.com/anquan/buding/1753.html

 1/2    1