Здравствуйте 3APA3A!
Сообщаю вам о найденной мною Arbitrary File Upload уязвимости в FCKeditor.
В FCKeditor имеется встроенный аплоадер, который не имеет разграничения
прав доступа (т.е. доступен для всех), который может использоваться для
загрузки на сайт произвольных файлов.
Arbitrary File Upload:
http://site/path/editor/filemanager/upload/test.html - для FCKeditor <= 2.4
(и потенциально 2.4.x).
http://site/path/editor/filemanager/connectors/test.html - для FCKeditor <=
2.6.3.
Мой универсальный дорк.
Для FCKeditor 2.4 (и потенциально 2.4.x) и предыдущих версий:
inurl:editor/filemanager/upload/
Для FCKeditor 2.6.3 и предыдущих версий:
inurl:editor/filemanager/connectors/
Уязвимы все версии веб приложения - FCKeditor 2.6.3 и предыдущие версии.
Дополнительная информация о данной уязвимости у меня на сайте:
http://websecurity.com.ua/2466/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua