FCKEditor曝高危漏洞 360首发临时解决方案

内心的悲伤 · 2012-12-5 16:44:53

　　近日，国外漏洞平台exploit-db曝光FCKEditor最新版（2.6.8Asp版）存在任意文件上传高危漏洞（漏洞详情：http://www.exploit-db.com/exploits/23005/），黑客借助该漏洞能够直接上传木马、后门程序并控制服务器，最终造成网站数据被窃等严重后果。360网站安全检测发现，国内大量使用FCKEditor的网站都存在这一漏洞。
　　360网站安全检测平台服务网址：http://webscan.360.cn
　　据了解，FCKEditor是一款开放源码的HTML文本编辑器，目前国内约有50%的内容网站后台使用该编辑器。而此次存在漏洞的版本是8月2日推出的FCKEditorv2.6.8版（ASP版）。

　　图1：FCKEditor2.6.8ASP版处理复制文件时未校验文件扩展名
　　据360安全工程师分析，该漏洞位于FCKEditor程序的'FileUpload()'函数，在处理复制文件时，程序未对文件扩展名进行校验，攻击者就利用这一漏洞绕过保护，上传任意扩展名的文件，实施木马攻击。

　　图2：攻击者可直接上传asp脚本木马到web目录
　　截止目前，FCKEditor官方尚未提供该漏洞的修复补丁（安全更新信息请关注http://sourceforge.net/projects/fckeditor/files/FCKeditor/），为了应对该漏洞可能造成的威胁，360网站安全检测平台第一时间向旗下用户发送了告警邮件，并提供了临时解决方案如下：

　　此外，360安全专家建议网站管理员及个人站长，使用免费的360网站安全检测和360网站卫士，准确掌握网站安全状况，及时修复漏洞，抵御规模化网络攻击，有效保护网站安全。

		自动登录	找回密码
密码			成为会员