Arbitrary File Upload уразливість в FCKeditor
23:56 23.09.2008Сьогодні я виявив Arbitrary File Upload уразливість в FCKeditor (що є вбудованою функцією). Це відомий онлайновий html текстовий редактор з широкими можливостями форматування (rich редактор). В FCKeditor наявний вбудований аплоадер, що не має розмеження прав доступу (тобто доступний для всіх), який може використовуватися для завантаження на сайт довільних файлів.
Uploader в FCKeditor не дозволяє закачувати на сайт скрипти (php та інші), що зменшує ризик даної уразливості. Але при наявності на сайті Local File Inclusion уразливості, достатньо буде через аплоадер закачати скрипт у вигляді txt-файла та інклюднути його, щоб виконати довільний код.
Уразливі всі версії веб додатку - FCKeditor 2.6.3 та попередні версії. FCKeditor може бути розміщеним адміном для використання на сайті, а також він постачається разом з різними CMS.
Arbitrary File Upload:
http://site/path/editor/filemanager/upload/test.html - для FCKeditor <= 2.4 (та потенційно 2.4.x).
http://site/path/editor/filemanager/connectors/test.html - для FCKeditor <= 2.6.3.
Для FCKeditor який чи використовується окремо, чи постачається разом з CMS, я розробив універсальний дорк.
Для FCKeditor 2.4 (та потенційно 2.4.x) та попередніх версій:
inurl:editor/filemanager/upload/
Для FCKeditor 2.6.3 та попередніх версій:
inurl:editor/filemanager/connectors/