FCKEditor曝高危漏洞 360首发临时解决方案

作者: 来源:未知 2012-12-05 13:32:48 阅读 我要评论 直达商品

  近日,国外漏洞平台exploit-db曝光FCKEditor最新版(2.6.8Asp版)存在任意文件上传高危漏洞(漏洞详情:http://www.exploit-db.com/exploits/23005/),黑客借助该漏洞能够直接上传木马、后门程序并控制服务器,最终造成网站数据被窃等严重后果。360网站安全检测发现,国内大量使用FCKEditor的网站都存在这一漏洞。

  360网站安全检测平台服务网址:http://webscan.360.cn

  乐购网(www.lgo100.com)据了解,FCKEditor是一款开放源码的HTML文本编辑器,目前国内约有50%的内容网站后台使用该编辑器。而此次存在漏洞的版本是8月2日推出的FCKEditorv2.6.8版(ASP版)。

说明: C:UsersdenghuanAppDataRoamingFetion1252693952temp6678ad226083b6fac6e29a460cda116a.png

  图1:FCKEditor2.6.8ASP版处理复制文件时未校验文件扩展名

  据360安全工程师分析,该漏洞位于FCKEditor程序的'FileUpload()'函数,在处理复制文件时,程序未对文件扩展名进行校验,攻击者就利用这一漏洞绕过保护,上传任意扩展名的文件,实施木马攻击。

  图2:攻击者可直接上传asp脚本木马到web目录

  截止目前,FCKEditor官方尚未提供该漏洞的修复补丁(安全更新信息请关注http://sourceforge.net/projects/fckeditor/files/FCKeditor/),为了应对该漏洞可能造成的威胁,360网站安全检测平台第一时间向旗下用户发送了告警邮件,并提供了临时解决方案如下:

  此外,360安全专家建议网站管理员及个人站长,使用免费的360网站安全检测和360网站卫士,准确掌握网站安全状况,及时修复漏洞,抵御规模化网络攻击,有效保护网站安全。

  关于360网站安全服务

  360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士:

  360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞;

  360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。分享17bianji.com)


  推荐阅读

  国产杀软VB100:360新病毒检测率最高

乐购软件讯(www.lgo100.com)一款杀毒软件能否准确查杀各类木马病毒、拦截钓鱼网站,往往需要专业的独立测试机构评判。目前,国际权威反病毒评测机构主要有AV-Comparitives测试、VirusBulletin(VB100)以及AV-Test测>>>详细阅读


本文标题:FCKEditor曝高危漏洞 360首发临时解决方案

地址:http://www.lgo100.com/a/11/20121205/88365.html

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
我的评论: 人参与评论
验证码: 匿名回答
网友评论(点击查看更多条评论)
友情提示: 登录后发表评论,可以直接从评论中的用户名进入您的个人空间,让更多网友认识您。
自媒体专栏

评论

热度