Eine Meldung vom Cert:
Der webbasierte HTML-Editor 'FCKeditor' weist eine Schwachstelle bei
der Verarbeitung des 'CurrentFolder'-Parameters auf. Die Ausnutzung
der Schwachstelle erlaubt einem entfernten Angreifer das Hochladen von
Dateien, z. B. Schadsoftware oder die Einrichtung von Remote-Shells.
Für die Ausnutzung der Schwachstelle ist Exploit-Code im Umlauf.
Die 'FCKeditor'-Entwickler haben die Schwachstelle in Version 2.6.4.1
geschlossen [2]. Der HTML-Editor kommt unter Umständen auch in 'Adobe
ColdFusion'-basierten Webseiten [5] und webbasierten
Content-Management- sowie Blog-Systemen zum Einsatz. Weitere
Informationen entnehmen Sie bitte folgenden Quellen:
[1] http://www.ocer ... t-2009-007.html
[2] http://www.fckeditor.net/download
[3] http://www.securityfocus.com/bid/31812/
[4] http://cve.mitr ... e=CVE-2009-2265
[5] http://blogs.ad ... n_security.html
Der webbasierte HTML-Editor 'FCKeditor' weist eine Schwachstelle bei
der Verarbeitung des 'CurrentFolder'-Parameters auf. Die Ausnutzung
der Schwachstelle erlaubt einem entfernten Angreifer das Hochladen von
Dateien, z. B. Schadsoftware oder die Einrichtung von Remote-Shells.
Für die Ausnutzung der Schwachstelle ist Exploit-Code im Umlauf.
Die 'FCKeditor'-Entwickler haben die Schwachstelle in Version 2.6.4.1
geschlossen [2]. Der HTML-Editor kommt unter Umständen auch in 'Adobe
ColdFusion'-basierten Webseiten [5] und webbasierten
Content-Management- sowie Blog-Systemen zum Einsatz. Weitere
Informationen entnehmen Sie bitte folgenden Quellen:
[1] http://www.ocer ... t-2009-007.html
[2] http://www.fckeditor.net/download
[3] http://www.securityfocus.com/bid/31812/
[4] http://cve.mitr ... e=CVE-2009-2265
[5] http://blogs.ad ... n_security.html