听别人说Z-BLOG的FCKEditor按照默认的配置可能有漏洞,我就赶快去我的BLOG看了看FCKEditor的代码,结果惊出一身冷汗。
我的FCKEditor下载的比较早,里面的配置果然有问题,再看看filemanager目录下的代码,简直和一个标准的ASP木马没有区别,上传居然没有权限控制,类似动网ASP的上传漏洞在这里也有,那真是毁灭性的灾难啊。
去掉此漏洞的方法是:删除FCKeditor目录下所有以“_”开头的目录,删除“FCKeditor/editor/filemanager”目录和其全部子目录,虽然上传的功能没有了,但我觉得安全性应该是第一位的。FCKeditor的上传既然不安全,那就必须删除其代码。
没有评论:
发表评论