techsir 登陆 |注册|TS首页
  首页 快活林 IT业界

FCKEditor曝高危漏洞 360首发临时解决方案

By: 内心的悲伤 发表于 2012-12-5 16:44:53 · 2420次点击   回复:0   
  近日,国外漏洞平台exploit-db曝光FCKEditor最新版(2.6.8Asp版)存在任意文件上传高危漏洞(漏洞详情:http://www.exploit-db.com/exploits/23005/),黑客借助该漏洞能够直接上传木马、后门程序并控制服务器,最终造成网站数据被窃等严重后果。360网站安全检测发现,国内大量使用FCKEditor的网站都存在这一漏洞。
  360网站安全检测平台服务网址:http://webscan.360.cn
  据了解,FCKEditor是一款开放源码的HTML文本编辑器,目前国内约有50%的内容网站后台使用该编辑器。而此次存在漏洞的版本是8月2日推出的FCKEditorv2.6.8版(ASP版)。

  图1:FCKEditor2.6.8ASP版处理复制文件时未校验文件扩展名
  据360安全工程师分析,该漏洞位于FCKEditor程序的'FileUpload()'函数,在处理复制文件时,程序未对文件扩展名进行校验,攻击者就利用这一漏洞绕过保护,上传任意扩展名的文件,实施木马攻击。

  图2:攻击者可直接上传asp脚本木马到web目录
  截止目前,FCKEditor官方尚未提供该漏洞的修复补丁(安全更新信息请关注http://sourceforge.net/projects/fckeditor/files/FCKeditor/),为了应对该漏洞可能造成的威胁,360网站安全检测平台第一时间向旗下用户发送了告警邮件,并提供了临时解决方案如下:

  此外,360安全专家建议网站管理员及个人站长,使用免费的360网站安全检测和360网站卫士,准确掌握网站安全状况,及时修复漏洞,抵御规模化网络攻击,有效保护网站安全。
2420次点击
0个回复  |  直到 2012-12-5 16:44:53
添加一条新回复
您需要登录后才可以回帖 登录 | 成为会员 新浪微博登陆

标签云|手机版|科技先生 ( 京ICP备07036130号 Powered by Discuz! X )

GMT+8, 2024-12-25 00:36