近日,國外漏洞平臺exploit-db曝光FCKEditor最新版(2.6.8Asp版)存在任意文件上傳高危漏洞(漏洞詳情:http://www.exploit-db.com/exploits/23005/),黑客借助該漏洞能夠直接上傳木馬、后門程序并控制服務器,最終造成網(wǎng)站數(shù)據(jù)被竊等嚴重后果。360網(wǎng)站安全檢測發(fā)現(xiàn),國內(nèi)大量使用FCKEditor的網(wǎng)站都存在這一漏洞。
360網(wǎng)站安全檢測平臺服務網(wǎng)址:http://webscan.360.cn
樂購網(wǎng)(www.brh9h.cn)據(jù)了解,F(xiàn)CKEditor是一款開放源碼的HTML文本編輯器,目前國內(nèi)約有50%的內(nèi)容網(wǎng)站后臺使用該編輯器。而此次存在漏洞的版本是8月2日推出的FCKEditorv2.6.8版(ASP版)。
圖1:FCKEditor2.6.8ASP版處理復制文件時未校驗文件擴展名
據(jù)360安全工程師分析,該漏洞位于FCKEditor程序的'FileUpload()'函數(shù),在處理復制文件時,程序未對文件擴展名進行校驗,攻擊者就利用這一漏洞繞過保護,上傳任意擴展名的文件,實施木馬攻擊。
圖2:攻擊者可直接上傳asp腳本木馬到web目錄
截止目前,F(xiàn)CKEditor官方尚未提供該漏洞的修復補丁(安全更新信息請關注http://sourceforge.net/projects/fckeditor/files/FCKeditor/),為了應對該漏洞可能造成的威脅,360網(wǎng)站安全檢測平臺第一時間向旗下用戶發(fā)送了告警郵件,并提供了臨時解決方案如下:
此外,360安全專家建議網(wǎng)站管理員及個人站長,使用免費的360網(wǎng)站安全檢測和360網(wǎng)站衛(wèi)士,準確掌握網(wǎng)站安全狀況,及時修復漏洞,抵御規(guī)模化網(wǎng)絡攻擊,有效保護網(wǎng)站安全。
關于360網(wǎng)站安全服務
360為站長提供免費的網(wǎng)站安全解決方案,包括360網(wǎng)站安全檢測平臺和360網(wǎng)站衛(wèi)士:
360網(wǎng)站安全檢測平臺是國內(nèi)首個集網(wǎng)站漏洞檢測、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費檢測平臺,擁有全面的網(wǎng)站漏洞庫及蜜罐集群檢測系統(tǒng),能夠第一時間協(xié)助網(wǎng)站檢測修復漏洞;
360網(wǎng)站衛(wèi)士則為站長免費提供網(wǎng)站防火墻、DDOS保護、CC保護、智能DNS解析、盜鏈保護、頁面壓縮、緩存加速和永久在線等服務。分享17bianji.com)
推薦閱讀
樂購軟件訊(www.brh9h.cn)一款殺毒軟件能否準確查殺各類木馬病毒、攔截釣魚網(wǎng)站,往往需要專業(yè)的獨立測試機構評判。目前,國際權威反病毒評測機構主要有AV-Comparitives測試、VirusBulletin(VB100)以及AV-Test測>>>詳細閱讀
本文標題:FCKEditor曝高危漏洞 360首發(fā)臨時解決方案
地址:http://www.brh9h.cn/a/11/20121205/88365.html
網(wǎng)友點評
精彩導讀
科技快報
品牌展示