Publié par UnderNews Actu - Télécharger l'application Android
PIA VPN

FCKeditor est un éditeur HTML WYSIWYG, c’est à dire un traitement de texte qui se charge de transformer ce que vous taper en code HTML. Il est très utilisé dans les CMS (WordPress, Drupal, Joomla, etc.). Il est progressivement remplacé par CKEditor.

La faille est de type Arbitrary File Upload Vulnerability et concerne le script upload.php. En effet, ce script est accessible depuis un simple navigateur (FCKeditor/editor/filemanager/upload/php/upload.php). La vulnérabilité touche les versions 2.x à 2.4.3.

En passant le paramètre Type=Media, il est possible d’uploader n’importe quel type de fichier (y compris avec l’extension .php)… Cette vulnérabilité peut donc être considérée comme critique étant donné qu’elle peut entrainer la compromission totale du serveur.

Si vous l’utiliser, il est fortement recommander de le mettre à jour ou alors de passer à CKEditor.

Note : un exploit permettant d’uploader un fichier via un simple formulaire à distance est actuellement diffusé sur le Net.

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (1 votes, note : 3,00 sur 5)
Loading...

Mots clés : , , , ,


Vos réactions




Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.