Websecurity - Веб безпека

Сьогодні я виявив Arbitrary File Upload уразливість в FCKeditor (що є вбудованою функцією). Це відомий онлайновий html текстовий редактор з широкими можливостями форматування (rich редактор). В FCKeditor наявний вбудований аплоадер, що не має розмеження прав доступу (тобто доступний для всіх), який може використовуватися для завантаження на сайт довільних файлів.

Uploader в FCKeditor не дозволяє закачувати на сайт скрипти (php та інші), що зменшує ризик даної уразливості. Але при наявності на сайті Local File Inclusion уразливості, достатньо буде через аплоадер закачати скрипт у вигляді txt-файла та інклюднути його, щоб виконати довільний код.

Уразливі всі версії веб додатку - FCKeditor 2.6.3 та попередні версії. FCKeditor може бути розміщеним адміном для використання на сайті, а також він постачається разом з різними CMS.

Arbitrary File Upload:

http://site/path/editor/filemanager/upload/test.html - для FCKeditor <= 2.4 (та потенційно 2.4.x).

http://site/path/editor/filemanager/connectors/test.html - для FCKeditor <= 2.6.3.

Для FCKeditor який чи використовується окремо, чи постачається разом з CMS, я розробив універсальний дорк.

Для FCKeditor 2.4 (та потенційно 2.4.x) та попередніх версій:

inurl:editor/filemanager/upload/

Для FCKeditor 2.6.3 та попередніх версій:

inurl:editor/filemanager/connectors/

This entry was posted on 23:56 23.09.2008 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.