影響版本:

FCKeditor <= 2.6.4漏洞描述:

CVE(CAN) ID: CVE-2009-2324,CVE-2009-2265

FCKeditor是一款開放源碼的HTML文本編輯器。

FCKeditor沒有正確地驗證用戶對多個connector模塊所傳送的輸入，遠程攻擊者可以利用samples目錄中的組件注入任意腳本或HTML，或通過目錄遍歷攻擊上傳惡意文件。

<*參考  http://marc.info/?l=bugtraq&m=124663715616221&w=2 *>

SEBUG安全建議:

* 從editor\filemanager\connectors中刪除不使用的連接器

* 在config.ext中禁用文件瀏覽器

* 完全刪除_samples目錄

廠商補?。?

FCKeditor

目前廠商還沒有提供補丁或者升級程序，我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本：

http://www.fckeditor.net/

【編輯推薦】

1. 谷歌發(fā)布Android安全漏洞補丁修復兩個DoS漏洞
2. 微軟緊急發(fā)布SMBv2安全漏洞補丁緩解風險
3. 360安全衛(wèi)士：打漏洞補丁防止微軟“黑屏”