影響版本:

FCKeditor <= 2.6.4漏洞描述:

CVE(CAN) ID: CVE-2009-2324,CVE-2009-2265

FCKeditor是一款開放源碼的HTML文本編輯器。

FCKeditor沒有正確地驗證用戶對多個connector模塊所傳送的輸入，遠(yuǎn)程攻擊者可以利用samples目錄中的組件注入任意腳本或HTML，或通過目錄遍歷攻擊上傳惡意文件。

<*參考  http://marc.info/?l=bugtraq&m=124663715616221&w=2 *>

SEBUG安全建議:

* 從editor\filemanager\connectors中刪除不使用的連接器

* 在config.ext中禁用文件瀏覽器

* 完全刪除_samples目錄

廠商補丁：

FCKeditor

目前廠商還沒有提供補丁或者升級程序，我們建議使用此軟件的用戶隨時關(guān)注廠商的主頁以獲取最新版本：

http://www.fckeditor.net/

【編輯推薦】

1. 谷歌發(fā)布Android安全漏洞補丁修復(fù)兩個DoS漏洞
2. 微軟緊急發(fā)布SMBv2安全漏洞補丁緩解風(fēng)險
3. 360安全衛(wèi)士：打漏洞補丁防止微軟“黑屏”