FCKEditor曝高危漏洞 360首发临时解决方案
来源:互联网 发布:三国演义总结知乎 编辑:程序博客网 时间:2024/05/17 06:40
近日,国外漏洞平台exploit-db曝光FCKEditor 最新版(2.6.8 Asp版)存在任意文件上传高危漏洞(漏洞详情:http://www.exploit-db.com/exploits/23005/ ),黑客借助该漏洞能够直接上传木马、后门程序并控制服务器,最终造成网站数据被窃等严重后果。360网站安全检测发现,国内大量使用FCKEditor的网站都存在这一漏洞。
360网站安全检测平台服务网址:http://webscan.360.cn
据了解,FCKEditor是一款开放源码的HTML文本编辑器,目前国内约有50%的内容网站后台使用该编辑器。而此次存在漏洞的版本是8月2日推出的FCKEditor v2.6.8版(ASP版)。
图1:FCKEditor 2.6.8 ASP版处理复制文件时未校验文件扩展名
据360安全工程师分析,该漏洞位于FCKEditor程序的'FileUpload()'函数,在处理复制文件时,程序未对文件扩展名进行校验,攻击者就利用这一漏洞绕过保护,上传任意扩展名的文件,实施木马攻击。
图2:攻击者可直接上传asp脚本木马到web目录
截止目前,FCKEditor官方尚未提供该漏洞的修复补丁(安全更新信息请关注http://sourceforge.net/projects/fckeditor/files/FCKeditor/ ),为了应对该漏洞可能造成的威胁,360网站安全检测平台第一时间向旗下用户发送了告警邮件,并提供了临时解决方案如下:
此外,360安全专家建议网站管理员及个人站长,使用免费的360网站安全检测和360网站卫士,准确掌握网站安全状况,及时修复漏洞,抵御规模化网络攻击,有效保护网站安全。
关于360网站安全服务
360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士:
360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞;
360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。
- FCKEditor曝高危漏洞 360首发临时解决方案
- Struts2 最新高危漏洞解决方案
- Struts2高危漏洞分析和解决方案
- Office DDE漏洞临时解决方案
- 瑞星杀毒软件被曝高危漏洞
- SSL 3.0曝出高危漏洞
- struts2 s2-045漏洞检测 &临时解决方案
- 风讯4高危漏洞
- JAVA突现高危漏洞
- Struts2爆高危漏洞
- openssl heartbleed高危漏洞
- FFMPEG的高危漏洞
- Photoshop曝高危漏洞 黑客可发动远程攻击
- Photoshop也曝高危漏洞 可被远程攻击
- 卡巴斯基在线杀毒曝高危漏洞 用户可被攻击
- Struts2再曝高危漏洞(S2-020补丁绕过)
- 网站再遭新威胁 Struts2又曝高危漏洞
- paip.提升安全---网站登录密码明文传输的登录高危漏洞解决方案
- viewpager实现画廊(一屏多个Fragment)效果
- 单片机以太网嵌入式控制芯片--MCU-W7100A数据手册
- UITabBarController详解(三)自定义UITabBarController
- IOS中国内股票K线图基本绘制思路(一)——数据处理
- java常用类库之StringBuffer
- FCKEditor曝高危漏洞 360首发临时解决方案
- Run kextlibs on the Kernel Extension
- Java
- android 图片浏览程序
- struts2常见错误总结
- No identities are available for signing的解决方法
- WSDL 详解
- POJ 2142 The Balance 解题报告(模线性方程)
- 自定义securityFilter过滤链