Уразливості в FCKeditor

19:24 12.09.2009

04.07.2009

У січні, 01.01.2009, я знайшов Directory Traversal та Cross-Site Scripting уразливості в FCKeditor. Directory Traversal в старих версіях, а XSS в усіх версіях даного html текстового редактора. Про що найближчим часом повідомлю розробникам редактора.

Раніше я вже писав про уразливості в FCKeditor.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.

12.09.2009

Directory Traversal:

Як я знаю ще з 25.02.2006 з опису уразливостей в FCKeditor, в його старих версіях була дірка, що дозволяла переглянути зміст довільних папок та створювати нові папки в довільних місцях. І все.

Але 01.01.2009 я знайшов, що також можливо завантажувати файли в довільні місця. Якщо в test.html або конекторі в полі Current Folder ввести “../” то відбудеться Directory Traversal атака.

Можна переглядати зміст довільних директорій, створювати нові каталоги в довільних директоріях та завантажувати файли в довільні директорії.

Уразливі FCKeditor 2.0 FC та попередні версії (старі версії FCKeditor).

XSS:

В усіх версіях FCKeditor можна завантажувати swf-файли. Тому можна провести XSS атаку через флеш. Це persistent XSS.

Уразливі FCKeditor 2.6.3 (та 2.6.4 має бути також) та попередні версії.


4 відповідей на “Уразливості в FCKeditor”

  1. trovich каже:

    До купи, теж про факедітор

  2. MustLive каже:

    Сергій, спасибі за лінку. Буду знати, що FCKeditor постачається разом з ColdFusion (та ще й з увімкнутим за умовчанням конектором).

    Зазначу, що всі уразливості які я знаходив і оприлюднив (чи ще оприлюдню) в FCKeditor, вони працюють на всіх платформах, в тому числі й ColdFusion. Як вищенаведені Directory Traversal та Cross-Site Scripting уразливості, так і раніше мною оприлюднені дірки в FCKeditor.

    Тому користувачам даного редактору потрібно слідкувати за його безпекою на будь-яких платформах (причому вже давно, так як я ще 23.09.2008 писав про Arbitrary File Upload уразливість в FCKeditor). Дуже дивно, що Адоб тільки зараз задумалась про даний вектор атак і “пообіцяла виправити”, коли я ще в вересні 2008 про це писав.

    P.S.

    Сайт, на який ти послався, дірявий :-) . І він ще з’явиться в моїх новинах.

  3. trovich каже:

    Взагалі, в комплекті ColdFusion йде багато бібліотек, вони використовуються для AJAX-функціоналу, там дуже просто можна багато речей робити, скажімо grid парою CFML теґів. Серед бібліотек YUI та Spry, оновлюються рідко, разом з оновленнями самого ColdFusion-серверу, і напевне мають вразливості.

    >дивно, що Адоб тільки зараз задумалась про даний вектор атак

    Не знаю наскільки дивно, адже це все-таки 3rd-party продукти, підтримкою котрих займаються відповідні люди.

    > Сайт, на який ти послався, дірявий

    Буду чекати повідомлень (може навіть ще цього року ;) ), повідомлятимемо розробників про дірки, хай латають.

  4. MustLive каже:

    Не знаю наскільки дивно, адже це все-таки 3rd-party продукти, підтримкою котрих займаються відповідні люди.

    Раз Adobe розмістила даний веб додаток в своєму продукті, то вона й повинна також відповідати за його безпеку. Вона несе повну відповідальність за все, що вона постачає з власним сервером і тому повинна робити відповідні (безпечні) налаштування в усіх додатках, що постачаються (в даному випадку вона мала відключити конектори по умовчанню).

    До того ж, коли розробнику FCKeditor я повідомляв про Arbitrary File Upload дірку в його додатку, він зазначив, що по дефолту в FCKeditor йдуть достатні налаштування безпеки (хоча я звернув його увагу, що насправді вони недостатні). Тому він зняв с себе будь-яку відповідальність за те, що інши виробники, які постачають FCKeditor разом зі своїм софтом, змінюють дефолтні налаштування на свої, часто менш безпечні. І я часто в себе в новинах писав про експлоіти у різних веб додатках через вбудований в них FCKeditor (з увімкнутим аплоадером).

    Буду чекати повідомлень (може навіть ще цього року ;) )

    Явно вже наступного року ;-) . Бо до липневих дірок я дійду лише в наступному році.

Leave a Reply

You must be logged in to post a comment.