Összefoglaló
Az FCKeditor egy olyan sérülékenységét jelentették, melyet a támadók kihasználhatnak
érzékeny információk felfedésére és a sérülékeny rendszer feltörésére.
Leírás
Az FCKeditor egy olyan sérülékenységét jelentették, melyet a támadók kihasználhatnak érzékeny információk felfedésére és a sérülékeny rendszer feltörésére.
A csatlakozó moduloknak a “CurrentFolder” paraméteren keresztül átadott bemenet felhasználás előtti ellenőrzése nem megfelelő. Ez kihasználható tetszőleges könyvtár tartalmának felfedésére és fájlok tetszőleges helyre történő feltöltésre.
A sikeres kihasználás tetszőleges kód futtatását teszi lehetővé egy tetszőleges
script fájl feltöltésével.
Figyelmeztetés: A jelentések szerint a sérülékenységet jelenleg kiaknázzák.
A sérülékenységet a 2.6.4.1 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 35712
Egyéb referencia: www.vupen.com
CVE-2009-2265 - NVD CVE-2009-2265
Egyéb referencia: www.ocert.org