Lỗ hổng trong FCKEditor FCKeditor (còn gọi là CKEditor) là một trình soạn thảo HTML mã nguồn mở theo kiểu WYSIWYG của CKSource. Chương trình này có thể tích hợp vào các web site mà không cần cài đặt. CKEditor tương thích với hầu hết các trình duyệt Internet và được sử dụng rất rộng rãi.
Lỗi chủ yếu do các website đang dùng bản cũ và không xóa các form upload test mặc định có trong FCKEditor. Khi triển khai FCKeditor chưa cấu hình phân quyền thư mục, phân quyền thực thi trong các thư mục upload của Web Server. Kẻ tấn công có thể lợi dụng để upload các file với nội dung xấu lên website hoặc upload các webshell lên Website nhằm chiếm quyền điều khiển website.
Để khắc phụ lỗi này, quản trị website nên thực hiện các công việc sau:
- Xóa các thư mục upload test trên website.
- Cấu hình phân quyền thư mục, phân quyền thực thi theo kiểu file trong thư mục upload.
- Có thể cập nhật phiên bản mới của FCKEditor
- Bạn cũng có thể khắc phục thủ công bằng cách thay đổi trực tiếp mã nguồn trong tệp tin upload.php. Thay đổi ‘sCurrentFolder = GetCurrentFolder()’ thành ‘sCurrentFolder = “/”’.
|
10:00 | 17/02/2020
10:00 | 14/05/2024
Cơ quan Giao thông và Truyền thông Phần Lan (Traficom) vừa đưa ra cảnh báo về một chiến dịch phát tán mã độc trên Android đang diễn ra với mục tiêu nhắm đến các tài khoản ngân hàng trực tuyến.
16:00 | 25/04/2024
Chiều 24/4, tại Diễn đàn thường niên “Blockchain và AI: Cuộc cách mạng tương lai”, Hiệp hội Blockchain Việt Nam đã chính thức ra mắt Viện Công nghệ Blockchain và Trí tuệ Nhân tạo (ABAII).
13:00 | 11/04/2024
Theo chuyên gia về an ninh mạng, các cuộc tấn công mạng ngày càng tinh vi, đặc biệt có sự tham gia của các nhóm tội phạm lớn quốc tế. Các hệ thống tại Việt Nam luôn ở trong tình trạng có thể bị tấn công bất cứ lúc nào. Do đó, các tổ chức, doanh nghiệp cần chủ động hơn trong việc phòng, chống.
17:00 | 01/04/2024
Sáng ngày 01/4, tại Hà Nội, Thiếu tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ đã trao quyết định bổ nhiệm Phó Tổng Biên tập Tạp chí An toàn thông tin cho đồng chí Đỗ Thục Anh.
Ba Lan cho biết nhóm tin tặc APT28 có liên quan đến Cơ quan tình báo quân đội Nga (GRU) đã thực hiện các cuộc tấn công mạng nhắm mục tiêu vào các tổ chức chính phủ Ba Lan trong khoảng thời gian đầu tháng 5/2024.
08:00 | 15/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Chiều ngày 16/5, tại Hà Nội, Tạp chí An toàn thông tin, Ban Cơ yếu Chính phủ đã có buổi làm việc với Viện Công nghệ Blockchain và Trí tuệ nhân tạo (Hiệp hội Blockchain Việt Nam) để cùng bàn về chương trình hoạt động hợp tác cụ thể trong thời gian tới.
09:00 | 17/05/2024