51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

FCKeditor connectors模块多个跨站脚本及目录遍历漏洞

作者:佚名
安全 漏洞
脚本漏洞##远程攻击##立即处理[msg]影响版本: FCKeditor <= 2.6.4漏洞描述: CVE(CAN) ID: CVE-2009-2324,CVE-2009-2265 FCKeditor是一款开放源码的HTML文本编辑器。FCKeditor没有正确地验证用户对多个connector模块所传送的输入,远程攻击者可以利用samples目录中的组件注入任意脚本或HTML,或通过目录遍历攻击上传恶意文件。

影响版本:

FCKeditor <= 2.6.4漏洞描述:

CVE(CAN) ID: CVE-2009-2324,CVE-2009-2265

FCKeditor是一款开放源码的HTML文本编辑器。

FCKeditor没有正确地验证用户对多个connector模块所传送的输入,远程攻击者可以利用samples目录中的组件注入任意脚本或HTML,或通过目录遍历攻击上传恶意文件。

<*参考  http://marc.info/?l=bugtraq&m=124663715616221&w=2 *>

SEBUG安全建议:

* 从editor\filemanager\connectors中删除不使用的连接器

* 在config.ext中禁用文件浏览器

* 完全删除_samples目录

厂商补丁:

FCKeditor

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.fckeditor.net/

【编辑推荐】

  1. 谷歌发布Android安全漏洞补丁修复两个DoS漏洞
  2. 微软紧急发布SMBv2安全漏洞补丁缓解风险
  3. 360安全卫士:打漏洞补丁防止微软“黑屏”
责任编辑:安泉 来源: 安全中国
漏洞补丁
相关推荐
Horde Passwd模块backend参数脚本漏洞
泄漏敏感信息远程攻击立即处理[msg]影响版本:HordePasswd3.1漏洞描述:BUGTRAQID:35573HordeFramework是个以PHP为基础的架构,用来创建网络应用程序;Passwd是其中用于更改口令的模块。

2009-10-27 15:09:04

phpMyAdmin SQL注入和脚本漏洞
脚本漏洞远程攻击立即处理[msg]影响版本:phpMyAdmin3.xphpMyAdmin2.11.x漏洞描述:BUGTRAQID:36658CVEID:CVE20093697,CVE20093696

2009-10-23 13:08:23

脚本攻击:如何防止XSS漏洞
XSS攻击可用于获得对特权信息的访问,本文讲的就是应对它们的方法。

2020-12-21 09:40:06

脚本攻击XSS漏洞
脚本攻击深入解析:危害cookie盗窃
本文将详细介绍跨站脚本的危害,以及攻击者是如何诱骗受害者的;最后介绍针对跨站脚本攻击的防御措施。

2009-03-09 17:19:53

WordPress 4.0以下版本存在脚本漏洞
近日,在4.0版本以下的Wordpress被发现存在跨站脚本漏洞(XSS),新版本的Wordpress已经修复了这些问题。为了安全起见,建议站长们尽早更新到WP新版本。

2014-11-27 09:26:23

Movable Type脚本和安全绕过漏洞
绕行漏洞远程攻击立即处理[msg]影响版本:MovableTypeMovableTypePro4.25MovableTypeMovableTypePro4.24MovableTypeMovableTypeOpenSource4.25MovableTypeMovableTypeOpenSource4.24MovableTypeMovableTypeEnterprise4.25MovableTypeMovableTypeEnterprise4.24

2009-10-27 15:21:04

PHP漏洞全解(四)-xss脚本攻击
本文主要介绍针对PHP网站的xss跨站脚本攻击。跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。

2012-04-12 14:45:13

脚本攻击深入解析之:漏洞利用过程
在本文的上篇中,我们详细介绍了当前Web应用所采取的安全措施,如同源策略、cookie安全模型以及Flash的安全模型;而本文将介绍跨站脚本漏洞利用的过程,并对HTML注入进行深入分析。

2009-03-09 12:37:48

CWE Top25漏洞榜单发布,脚本跃居榜首
近日,在CWE(通用漏洞枚举)最新发布的2020年25种最危险软件漏洞榜单中,跨站脚本(XSS)名列榜首(下图)。

2020-08-25 10:55:59

漏洞跨站脚本XSS
全面解析脚本攻击
跨站脚本(crosssitescripting,XSS)是一种迫使Web站点回显可执行代码的攻击技术,而这些可执行代码由攻击者提供、最终为用户浏览器加载。本文通过十二个问答,详细介绍了跨站脚本攻击。

2010-06-07 20:19:49

XSS脚本攻击初探
XSS跨站脚本攻击的基本原理和SQL注入攻击类似(个人观点),都是利用系统执行了未经过滤的危险代码,不同点在于XSS是一种基于网页脚本的注入方式,也就是将脚本攻击载荷写入网页执行以达到对网页客户端访问用户攻击的目的,属于客户端攻击。

2013-01-11 17:33:46

华为E960 HSDPA路由器短信脚本漏洞
华为E960路由器允许通过其Web接口发送和接收短信,但在收件箱视图中未经转义便显示了每条短信的前32个字符,因此远程攻击者可以通过发送恶意的短信消息执行跨站脚本攻击。

2009-02-26 16:24:31

脚本攻击和请求伪造之道的解析
本文主要讲述的是跨站脚本攻击与跨站请求伪造之路的解析,同时本文也有对同源攻击所涉及的几种攻击手段的讲述,以下就是文章的主要内容讲述。

2010-09-27 17:37:10

微软披露Azure中的严重漏洞,可用来执行脚本攻击
微软AzureBastion和AzureContainerRegistry披露了两个严重的安全漏洞,这些漏洞可能被利用来执行跨站脚本攻击(XSS)。

2023-06-15 12:26:32

老话重提:防范脚本攻击
本文主要介绍随着社交媒体的兴起,跨站脚本(XSS)攻击又有了新的用武之地,并且提出针对这些攻击我们新的应对方法。

2010-06-30 16:26:05

Mozilla浏览器引入新技术处理脚本漏洞威胁
Mozilla的安全工程师们正在开发新技术以避免一些由于Web应用程序漏洞产生的安全威胁,最典型的就是现在四处肆虐的跨站攻击。

2009-06-26 10:21:26

Web安全之脚本攻击(XSS)
跨站脚本攻击(CrossSiteScripting),为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

2017-06-14 16:08:31

淘宝现漏洞骗子正疯狂利用
近日,有好多网友反映他们的淘宝账户被盗,自己淘宝账号被用来群发垃圾广告和诈骗广告,导致账号被封。

2010-04-26 16:42:09

淘宝网安全漏洞
脚本攻击的全面了解
下面的文章主要是对跨站脚本攻击的介绍,作为一个网站的业务管理者,除了欣赏自己为客户提供的丰富业务与趣味性体验时,是否也曾经想过网站会成为攻击者攻击第三方的媒介。

2010-09-09 11:19:10

脚本攻击XSS挑战Web安全
我们今天主要向大家讲述的是跨站脚本攻击XSS“疯狂”挑战Web安全,下面就是文章的主要内容的详细解析,望大家会对其有更好的收获。

2010-09-10 14:13:11

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服