近日,國外漏洞平臺exploit-db曝光FCKEditor最新版(2.6.8Asp版)存在任意文件上傳高危漏洞(漏洞詳情:http://www.exploit-db.com/exploits/23005/),黑客借助該漏洞能夠直接上傳木馬、后門程序并控制服務器,最終造成網站數據被竊等嚴重后果。360網站安全檢測發現,國內大量使用FCKEditor的網站都存在這一漏洞。
360網站安全檢測平臺服務網址:http://webscan.360.cn
樂購網(www.xglongwei.com)據了解,FCKEditor是一款開放源碼的HTML文本編輯器,目前國內約有50%的內容網站后臺使用該編輯器。而此次存在漏洞的版本是8月2日推出的FCKEditorv2.6.8版(ASP版)。
圖1:FCKEditor2.6.8ASP版處理復制文件時未校驗文件擴展名
據360安全工程師分析,該漏洞位于FCKEditor程序的'FileUpload()'函數,在處理復制文件時,程序未對文件擴展名進行校驗,攻擊者就利用這一漏洞繞過保護,上傳任意擴展名的文件,實施木馬攻擊。
圖2:攻擊者可直接上傳asp腳本木馬到web目錄
截止目前,FCKEditor官方尚未提供該漏洞的修復補丁(安全更新信息請關注http://sourceforge.net/projects/fckeditor/files/FCKeditor/),為了應對該漏洞可能造成的威脅,360網站安全檢測平臺第一時間向旗下用戶發送了告警郵件,并提供了臨時解決方案如下:
此外,360安全專家建議網站管理員及個人站長,使用免費的360網站安全檢測和360網站衛士,準確掌握網站安全狀況,及時修復漏洞,抵御規模化網絡攻擊,有效保護網站安全。
關于360網站安全服務
360為站長提供免費的網站安全解決方案,包括360網站安全檢測平臺和360網站衛士:
360網站安全檢測平臺是國內首個集網站漏洞檢測、網站掛馬監控、網站篡改監控于一體的免費檢測平臺,擁有全面的網站漏洞庫及蜜罐集群檢測系統,能夠第一時間協助網站檢測修復漏洞;
360網站衛士則為站長免費提供網站防火墻、DDOS保護、CC保護、智能DNS解析、盜鏈保護、頁面壓縮、緩存加速和永久在線等服務。分享17bianji.com)
推薦閱讀
樂購軟件訊(www.xglongwei.com)一款殺毒軟件能否準確查殺各類木馬病毒、攔截釣魚網站,往往需要專業的獨立測試機構評判。目前,國際權威反病毒評測機構主要有AV-Comparitives測試、VirusBulletin(VB100)以及AV-Test測>>>詳細閱讀
本文標題:FCKEditor曝高危漏洞 360首發臨時解決方案
地址:http://www.xglongwei.com/a/11/20121205/88365.html
網友點評
精彩導讀
科技快報
品牌展示