最新系统漏洞--CKEditor跨站脚本漏洞

最新推荐文章于 2024-09-15 23:24:03 发布

Hacker-Li

最新推荐文章于 2024-09-15 23:24:03 发布

阅读量5.1k

点赞数 1

分类专栏：笔记

本文链接：https://blog.csdn.net/weixin_48555088/article/details/120919415

版权

笔记专栏收录该内容

81 篇文章 6 订阅

订阅专栏

最新系统漏洞2021年10月22日
受影响系统：
CKEditor CKEditor 4 4.14.0 <= Version < 4.16.1
描述：

CVE(CAN) ID: CVE-2021-33829
CKEditor是一套开源的、基于网页的文字编辑器。
CKEditor 4.14.0至4.16.1版本的HTML数据处理器存在跨站脚本漏洞。远程攻击者可通过特制的注释利用该漏洞注入JavaScript代码。

<**>

建议：

厂商补丁：

CKEditor

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://ckeditor.com/blog/ckeditor-4.16.1-with-accessibility-enhancements/#improvements-for-comments-in-html-parser

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Hacker-Li

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

【渗透测试】--- FCKeditor文本编辑器漏洞

qq_43168364的博客

12-25

1万+

一、FCKeditor编辑器漏洞 FCKeditor编辑器是一款强大的所见即所得文本编辑器，现在已经更名为：CKEditor fckeditor的常见敏感目录（FCK有时要小写） (1) 查看版本信息 /FCKeditor/editor/dialog/fck_about.html /FCKeditor/_whatsnew.html (2) 默认上传页面 /FCKeditor/editor/filemanager/browser/default/browser.html /FCKeditor/edito

ckeditor漏洞

01-17

7843

转自：http://www.netknight.in/archives/28/ 1、ckfinder上传漏洞ckfinder是一个AJAX的文件管理工具，配合ckeditor用于网站上传、管理文件。但是ckfinder/ckfinder.html页面，访问不需特别权限。利用在IIS6.0的环境下的解析漏洞可拿webshell。 2、ckeditor上传漏洞http://www....

参与评论您还未登录，请先登录后发表或查看评论

CKEditor 版本探测和爬取历史漏洞（整理文）

热门推荐

soldi_er的博客

10-25

1万+

文章目录版本探测历史漏洞版本探测由于是通过 ckeditor.js 引用 CKEditor JS API，所以在引用 CKEditor 编辑器的页面，可以找到前端代码引用的 ckeditor.js。 ckeditor.js 文件默认包含版本信息，位置在正文的第一行，也可以搜索 version（本地搜索到72项）。历史漏洞 ...

【漏洞复现】友点CMS image_upload.php 任意文件上传漏洞

凝聚力安全团队

07-15

278

友点CMS image_upload.php 文件存在任意文件上传漏洞，攻击者可以上传任意文件，获取 WebShell，控制服务器权限，执行任意命令等。友点企业网站管理系统》（YouDianCMS系统）集电脑网站、手机网站、微信、APP、小程序于一体，共用空间，数据自动同步，是五合一企业建站专业解决方案。

CKEditor 历史漏洞复现：CVE-2014-5191（无Poc）

soldi_er的博客

10-27

7677

文章目录选择测试版本 4.4.2安装 2015 年发布版本 4.4.2npm 安装 - 未成功bower 安装 - 成功页面引用 CKEditor寻找并测试漏洞选择测试版本 4.4.2 根据官方公告的漏洞修复情况来看，第一个选择最好是 4.4.2。安装 2015 年发布版本 4.4.2 npm 安装 - 未成功访问 CKEditor 4 官方指南，查看 [Getting Started]模块。新建 down-test 目录，测试不同命令的安装结果。 npm 安装命令执行结果 npm

速修复！开源编辑器CKEditor 中存在两个严重XSS漏洞，影响Drupal 和其它下游应用...

smellycat000的专栏

11-22

2644

恶意上传文件漏洞/cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/upload.cfm

里查叔叔

05-22

1408

/cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/upload.cfm 可以通过一个简单的HTTP POST请求到upload.cfm文件进行利用，upload.cfm是没有限制的，也不需要任何的认证。

FCKeditor文件上传漏洞及利用-File-Upload-Vulnerability-in-FCKEditor1

08-03

本文主要探讨了FCKeditor（现称为CKeditor）中的PHP文件上传模块存在的安全漏洞，允许攻击者绕过文件类型检查，将恶意PHP代码上传到Web服务器。这个漏洞尤其对使用FCKeditor的PHP web应用构成威胁。 **一、摘要** ...

跨站脚本攻击（XSS）

最新发布

CoffeMilk的博客

09-15

885

XSS(全称：Cross Site Scripting【跨站脚本攻击】)，为了避免和CSS(全称:Cascading Style Sheets【层叠样式表】)名称混淆冲突，故改名为：XSS；是一种常见的Web应用程序代码注入安全漏洞之一。攻击者可以利用这种漏洞在网站上注入行恶意代码，用户在不知情的情况下访问这些被注入了恶意代码的网站内容，导致用户自己的账户、会话cookie、键盘输入内容等敏感信息被攻击者盗取，攻击者可以利用这些信息突破网站的访问限制并冒充受害用户进行操作。

FCKeditor漏洞总结

01-24

### FCKeditor 漏洞总结 #### 一、概览 FCKeditor是一款非常流行的富文本编辑器，在很多网站中都有广泛的应用。然而，它的一些版本存在多种安全漏洞，这些漏洞可能导致各种安全问题，包括但不限于文件上传漏洞、...

常用网页编辑器漏洞手册（全面版）fckeditor,ewebeditor

10-28

EWebEditor的漏洞信息没有在提供的内容中详细列出，但通常来说，网页编辑器可能存在的漏洞包括XSS（跨站脚本攻击）、CSRF（跨站请求伪造）以及文件上传漏洞等。攻击者可能利用这些漏洞在用户浏览器中执行恶意代码，...

ckeditor4.1.1

05-10

CKEditor是新一代的FCKeditor，是一个重新开发的版本。CKEditor是全球最优秀的网页在线文字编辑器之一，因其惊人的性能与可扩展性而广泛的被运用于各大网站。

ckeditor最新

10-10

4. **更丰富的插件库**：CKEditor的插件生态系统可能得到了扩展，包括新的插件如表格工具、代码编辑器、地图集成等，满足更多特定需求。 5. **无障碍功能**：考虑到残障人士的使用，最新版可能对键盘导航和屏幕阅读...

ASP CKEditor(UBB编辑器)，用户端需要防跨站脚本攻击

houyanhua1的专栏

01-05

577

UBB编辑器属于CKEditor，可以防止跨站脚本攻击(XSS攻击)，不能取消微软提供的脚本验证功能，因此需要使用UBB编辑器([p]XXX[/p])。在服务端将数据库中的UBB文本输出到浏览器中时需要通过正则表达式处理这些UBB的文本数据，包括防XSS攻击的处理（处理[]和 XXX.html: $(funct

关于CKeditor的个性应用设置转

weixin_33889665的博客

05-23

144

转自http://www.jb51.net/ " 因为我的网站需要一个编辑器，所以用周末时间研究了一下CKeditor，终于最终修改成了合适的样子。 CKeditor，以前叫FCKeditor，已经使用过好多年了，功能自然没的说。最近升级到3.0版，好像重写了代码，所以构建的方式也有了些变化，应该说是更简单了。相关地址：官方网站：http://ckeditor.co...

2024年物联网嵌入式最全fckeditor编辑器上传漏洞getshell——突破(2)，2024年最新贼厉害

2401_85014346的博客

05-14

564

第二次上传logo.asp;x.jpg ==>变成logo.asp;

2401_85011796的博客

05-14

1357

百度搜索fckeditor编辑器漏洞利用，找到参考链接：https://www.cnblogs.com/milantgh/p/3775396.html，按照链接中常用上传地址挨个进行测试。访问上传的文件后，发现是图片，并没有当作asp进行解析。_x(1).jpg，以前这种方法是可以的，但这个环境不可以，知道此方法就行。接下来，查看目标网站搭建平台，发现是IIS6.0，那么可以结合IIS6.0的解析漏洞进行利用。测试过程中发现第三个会弹窗提示，说明没有访问到上传目录，那么添加…上传logo.asp;

编辑器漏洞学习笔记

qq_34341458的博客

02-06

579

查找编辑器目录：目录扫描:御剑要递归扫描，很多编辑器没有放在根目录，而是放在后台，例：admin/editor，xxx/user/editor 目录遍历：蜘蛛爬行：aws，爬行菜刀使用百度：site：xxxx.com inurl:editor/fackeditor/ewebeditor eweb:uploadfiles/2222222.jpg fck: userfiles/zzzzz.jpg 一、FCKeditor编辑器利用（可能放在根目录或者管理员目录下） 1.编辑器页/版本/文

CKEditor/CKFinder升级心得

weixin_34321977的博客

03-24

250

这几天把一个旧项目中的fckeditor升级为ckeditor 3.2 + ckfinder 1.4.3 组合，下面是一些升级心得: 一、CKFinder的若干问题 1.单独使用ckfinder从原fckeditor分离出来以后可以单独使用，通常我习惯于在工具栏中添加ckfinder.dll，这样以后要使用ckfinder直接从工具箱拖出来即可. 拖到页面中后，会形成这样一个控件实例： &l...

ckeditor5-build-decoupled-document

05-25

`ckeditor5-build-decoupled-document` 是一个基于 CKEditor 5 构建的分离式文档编辑器。它提供了一个模块化的、可扩展的架构，可以根据自己的需要选择和添加不同的插件和功能。与传统的 CKEditor 5 构建方式不同，`ckeditor5-build-decoupled-document` 使用了分离式编辑器的方法，将编辑器核心和 UI 界面分离开来，使得开发者可以更加轻松地根据自己的需求进行定制开发。

最新系统漏洞--CKEditor跨站脚本漏洞

最新系统漏洞2021年10月22日 受影响系统： CKEditor CKEditor 4 4.14.0 <= Version < 4.16.1 描述：

建议：

CKEditor

最新系统漏洞2021年10月22日
受影响系统：
CKEditor CKEditor 4 4.14.0 <= Version < 4.16.1
描述：