Уразливості в FCKeditor
19:24 12.09.200904.07.2009
У січні, 01.01.2009, я знайшов Directory Traversal та Cross-Site Scripting уразливості в FCKeditor. Directory Traversal в старих версіях, а XSS в усіх версіях даного html текстового редактора. Про що найближчим часом повідомлю розробникам редактора.
Раніше я вже писав про уразливості в FCKeditor.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.
12.09.2009
Directory Traversal:
Як я знаю ще з 25.02.2006 з опису уразливостей в FCKeditor, в його старих версіях була дірка, що дозволяла переглянути зміст довільних папок та створювати нові папки в довільних місцях. І все.
Але 01.01.2009 я знайшов, що також можливо завантажувати файли в довільні місця. Якщо в test.html або конекторі в полі Current Folder ввести “../” то відбудеться Directory Traversal атака.
Можна переглядати зміст довільних директорій, створювати нові каталоги в довільних директоріях та завантажувати файли в довільні директорії.
Уразливі FCKeditor 2.0 FC та попередні версії (старі версії FCKeditor).
XSS:
В усіх версіях FCKeditor можна завантажувати swf-файли. Тому можна провести XSS атаку через флеш. Це persistent XSS.
Уразливі FCKeditor 2.6.3 (та 2.6.4 має бути також) та попередні версії.
Неділя, 10:20 05.07.2009
До купи, теж про факедітор
Неділя, 21:25 05.07.2009
Сергій, спасибі за лінку. Буду знати, що FCKeditor постачається разом з ColdFusion (та ще й з увімкнутим за умовчанням конектором).
Зазначу, що всі уразливості які я знаходив і оприлюднив (чи ще оприлюдню) в FCKeditor, вони працюють на всіх платформах, в тому числі й ColdFusion. Як вищенаведені Directory Traversal та Cross-Site Scripting уразливості, так і раніше мною оприлюднені дірки в FCKeditor.
Тому користувачам даного редактору потрібно слідкувати за його безпекою на будь-яких платформах (причому вже давно, так як я ще 23.09.2008 писав про Arbitrary File Upload уразливість в FCKeditor). Дуже дивно, що Адоб тільки зараз задумалась про даний вектор атак і “пообіцяла виправити”, коли я ще в вересні 2008 про це писав.
P.S.
Сайт, на який ти послався, дірявий
. І він ще з’явиться в моїх новинах.
Неділя, 21:45 05.07.2009
Взагалі, в комплекті ColdFusion йде багато бібліотек, вони використовуються для AJAX-функціоналу, там дуже просто можна багато речей робити, скажімо grid парою CFML теґів. Серед бібліотек YUI та Spry, оновлюються рідко, разом з оновленнями самого ColdFusion-серверу, і напевне мають вразливості.
>дивно, що Адоб тільки зараз задумалась про даний вектор атак
Не знаю наскільки дивно, адже це все-таки 3rd-party продукти, підтримкою котрих займаються відповідні люди.
> Сайт, на який ти послався, дірявий
Буду чекати повідомлень (може навіть ще цього року
), повідомлятимемо розробників про дірки, хай латають.
Понеділок, 18:21 06.07.2009
Раз Adobe розмістила даний веб додаток в своєму продукті, то вона й повинна також відповідати за його безпеку. Вона несе повну відповідальність за все, що вона постачає з власним сервером і тому повинна робити відповідні (безпечні) налаштування в усіх додатках, що постачаються (в даному випадку вона мала відключити конектори по умовчанню).
До того ж, коли розробнику FCKeditor я повідомляв про Arbitrary File Upload дірку в його додатку, він зазначив, що по дефолту в FCKeditor йдуть достатні налаштування безпеки (хоча я звернув його увагу, що насправді вони недостатні). Тому він зняв с себе будь-яку відповідальність за те, що інши виробники, які постачають FCKeditor разом зі своїм софтом, змінюють дефолтні налаштування на свої, часто менш безпечні. І я часто в себе в новинах писав про експлоіти у різних веб додатках через вбудований в них FCKeditor (з увімкнутим аплоадером).
Явно вже наступного року
. Бо до липневих дірок я дійду лише в наступному році.