近日,國外漏洞平臺exploit-db曝光FCKEditor最新版(2.6.8Asp版)存在任意文件上傳高危漏洞(漏洞詳情:http://www.exploit-db.com/exploits/23005/),黑客借助該漏洞能夠直接上傳木馬、后門程序并控制服務(wù)器,最終造成網(wǎng)站數(shù)據(jù)被竊等嚴(yán)重后果。360網(wǎng)站安全檢測發(fā)現(xiàn),國內(nèi)大量使用FCKEditor的網(wǎng)站都存在這一漏洞。
360網(wǎng)站安全檢測平臺服務(wù)網(wǎng)址:http://webscan.360.cn
樂購網(wǎng)(www.sdlzkt.com)據(jù)了解,F(xiàn)CKEditor是一款開放源碼的HTML文本編輯器,目前國內(nèi)約有50%的內(nèi)容網(wǎng)站后臺使用該編輯器。而此次存在漏洞的版本是8月2日推出的FCKEditorv2.6.8版(ASP版)。
圖1:FCKEditor2.6.8ASP版處理復(fù)制文件時未校驗文件擴(kuò)展名
據(jù)360安全工程師分析,該漏洞位于FCKEditor程序的'FileUpload()'函數(shù),在處理復(fù)制文件時,程序未對文件擴(kuò)展名進(jìn)行校驗,攻擊者就利用這一漏洞繞過保護(hù),上傳任意擴(kuò)展名的文件,實施木馬攻擊。
圖2:攻擊者可直接上傳asp腳本木馬到web目錄
截止目前,F(xiàn)CKEditor官方尚未提供該漏洞的修復(fù)補丁(安全更新信息請關(guān)注http://sourceforge.net/projects/fckeditor/files/FCKeditor/),為了應(yīng)對該漏洞可能造成的威脅,360網(wǎng)站安全檢測平臺第一時間向旗下用戶發(fā)送了告警郵件,并提供了臨時解決方案如下:
此外,360安全專家建議網(wǎng)站管理員及個人站長,使用免費的360網(wǎng)站安全檢測和360網(wǎng)站衛(wèi)士,準(zhǔn)確掌握網(wǎng)站安全狀況,及時修復(fù)漏洞,抵御規(guī)模化網(wǎng)絡(luò)攻擊,有效保護(hù)網(wǎng)站安全。
關(guān)于360網(wǎng)站安全服務(wù)
360為站長提供免費的網(wǎng)站安全解決方案,包括360網(wǎng)站安全檢測平臺和360網(wǎng)站衛(wèi)士:
360網(wǎng)站安全檢測平臺是國內(nèi)首個集網(wǎng)站漏洞檢測、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費檢測平臺,擁有全面的網(wǎng)站漏洞庫及蜜罐集群檢測系統(tǒng),能夠第一時間協(xié)助網(wǎng)站檢測修復(fù)漏洞;
360網(wǎng)站衛(wèi)士則為站長免費提供網(wǎng)站防火墻、DDOS保護(hù)、CC保護(hù)、智能DNS解析、盜鏈保護(hù)、頁面壓縮、緩存加速和永久在線等服務(wù)。分享17bianji.com)
推薦閱讀
樂購軟件訊(www.sdlzkt.com)一款殺毒軟件能否準(zhǔn)確查殺各類木馬病毒、攔截釣魚網(wǎng)站,往往需要專業(yè)的獨立測試機(jī)構(gòu)評判。目前,國際權(quán)威反病毒評測機(jī)構(gòu)主要有AV-Comparitives測試、VirusBulletin(VB100)以及AV-Test測>>>詳細(xì)閱讀
本文標(biāo)題:FCKEditor曝高危漏洞 360首發(fā)臨時解決方案
地址:http://www.sdlzkt.com/a/11/20121205/88365.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示