近日,國(guó)外漏洞平臺(tái)exploit-db曝光FCKEditor最新版(2.6.8Asp版)存在任意文件上傳高危漏洞(漏洞詳情:http://www.exploit-db.com/exploits/23005/),黑客借助該漏洞能夠直接上傳木馬、后門程序并控制服務(wù)器,最終造成網(wǎng)站數(shù)據(jù)被竊等嚴(yán)重后果。360網(wǎng)站安全檢測(cè)發(fā)現(xiàn),國(guó)內(nèi)大量使用FCKEditor的網(wǎng)站都存在這一漏洞。
360網(wǎng)站安全檢測(cè)平臺(tái)服務(wù)網(wǎng)址:http://webscan.360.cn
樂(lè)購(gòu)網(wǎng)(www.sdlzkt.com)據(jù)了解,F(xiàn)CKEditor是一款開放源碼的HTML文本編輯器,目前國(guó)內(nèi)約有50%的內(nèi)容網(wǎng)站后臺(tái)使用該編輯器。而此次存在漏洞的版本是8月2日推出的FCKEditorv2.6.8版(ASP版)。
圖1:FCKEditor2.6.8ASP版處理復(fù)制文件時(shí)未校驗(yàn)文件擴(kuò)展名
據(jù)360安全工程師分析,該漏洞位于FCKEditor程序的'FileUpload()'函數(shù),在處理復(fù)制文件時(shí),程序未對(duì)文件擴(kuò)展名進(jìn)行校驗(yàn),攻擊者就利用這一漏洞繞過(guò)保護(hù),上傳任意擴(kuò)展名的文件,實(shí)施木馬攻擊。
圖2:攻擊者可直接上傳asp腳本木馬到web目錄
截止目前,F(xiàn)CKEditor官方尚未提供該漏洞的修復(fù)補(bǔ)丁(安全更新信息請(qǐng)關(guān)注http://sourceforge.net/projects/fckeditor/files/FCKeditor/),為了應(yīng)對(duì)該漏洞可能造成的威脅,360網(wǎng)站安全檢測(cè)平臺(tái)第一時(shí)間向旗下用戶發(fā)送了告警郵件,并提供了臨時(shí)解決方案如下:
此外,360安全專家建議網(wǎng)站管理員及個(gè)人站長(zhǎng),使用免費(fèi)的360網(wǎng)站安全檢測(cè)和360網(wǎng)站衛(wèi)士,準(zhǔn)確掌握網(wǎng)站安全狀況,及時(shí)修復(fù)漏洞,抵御規(guī)模化網(wǎng)絡(luò)攻擊,有效保護(hù)網(wǎng)站安全。
關(guān)于360網(wǎng)站安全服務(wù)
360為站長(zhǎng)提供免費(fèi)的網(wǎng)站安全解決方案,包括360網(wǎng)站安全檢測(cè)平臺(tái)和360網(wǎng)站衛(wèi)士:
360網(wǎng)站安全檢測(cè)平臺(tái)是國(guó)內(nèi)首個(gè)集網(wǎng)站漏洞檢測(cè)、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測(cè)平臺(tái),擁有全面的網(wǎng)站漏洞庫(kù)及蜜罐集群檢測(cè)系統(tǒng),能夠第一時(shí)間協(xié)助網(wǎng)站檢測(cè)修復(fù)漏洞;
360網(wǎng)站衛(wèi)士則為站長(zhǎng)免費(fèi)提供網(wǎng)站防火墻、DDOS保護(hù)、CC保護(hù)、智能DNS解析、盜鏈保護(hù)、頁(yè)面壓縮、緩存加速和永久在線等服務(wù)。分享17bianji.com)
推薦閱讀
國(guó)產(chǎn)殺軟VB100:360新病毒檢測(cè)率最高
樂(lè)購(gòu)軟件訊(www.sdlzkt.com)一款殺毒軟件能否準(zhǔn)確查殺各類木馬病毒、攔截釣魚網(wǎng)站,往往需要專業(yè)的獨(dú)立測(cè)試機(jī)構(gòu)評(píng)判。目前,國(guó)際權(quán)威反病毒評(píng)測(cè)機(jī)構(gòu)主要有AV-Comparitives測(cè)試、VirusBulletin(VB100)以及AV-Test測(cè)>>>詳細(xì)閱讀
本文標(biāo)題:FCKEditor曝高危漏洞 360首發(fā)臨時(shí)解決方案
地址:http://www.sdlzkt.com/a/11/20121205/88365.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示