FCKeditor : vulnérabilité critique annoncée

0

FCKeditor est un éditeur HTML WYSIWYG, c’est à dire un traitement de texte qui se charge de transformer ce que vous taper en code HTML. Il est très utilisé dans les CMS (WordPress, Drupal, Joomla, etc.). Il est progressivement remplacé par CKEditor.

La faille est de type Arbitrary File Upload Vulnerability et concerne le script upload.php. En effet, ce script est accessible depuis un simple navigateur (FCKeditor/editor/filemanager/upload/php/upload.php). La vulnérabilité touche les versions 2.x à 2.4.3.

En passant le paramètre Type=Media, il est possible d’uploader n’importe quel type de fichier (y compris avec l’extension .php)… Cette vulnérabilité peut donc être considérée comme critique étant donné qu’elle peut entrainer la compromission totale du serveur.

Si vous l’utiliser, il est fortement recommander de le mettre à jour ou alors de passer à CKEditor.

Note : un exploit permettant d’uploader un fichier via un simple formulaire à distance est actuellement diffusé sur le Net.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.