FCKeditor 2.4.3 /fckeditor/editor/filemanager/browser/default/connectors/php/commands.php 文件上传漏洞

2013-04-19T00:00:00
ID SSV:62346
Type seebug
Reporter Knownsec
Modified 2013-04-19T00:00:00

Description

FCKeditor是国外一款非常流行的所见即所得文字编辑器,其<=2.4.3版本/fckeditor/editor/filemanager/browser/default/connectors/php/commands.php 文件中,该文件将对文件后缀进行了简单的过滤,但是在config.php中还是以黑名单进行过滤,当用户在上传文件后面加上一个空格时,就可以绕过这个过滤,导致文件上传漏洞。

FCKeditor 2.4.3