¿Cómo abordar los problemas de seguridad de XSS en FCKeditor / CKeditor?

Navega tus respuestas
11

Un informe de seguridad que realizamos a través de una empresa externa informó las vulnerabilidades de XSS en FCKeditor que estamos usando en nuestra aplicación PHP.

Señalaron que accediendo a URL como: 

http://www.ourdomain.com/fckeditor/editor/filemanager/browser/mcpuk/connectors
    /php/connector.php?Command=837<script>alert(0)</script>&Type=837
    <script>alert(1)</script>&CurrentFolder=837<script>alert(2)</script>
    &ExtraParams=837<br><br><br><iframe src=http://www.google.com/ 
    height=100% width=100%></iframe>

Conduce a código como el siguiente que se genera (desde el navegador - > ver fuente): 

Invalid command.Array<br />
(<br />
[Command] => 837<script>alert(0)</script><br />
[Type] => 837<script>alert(1)</script><br />
[CurrentFolder] => 837<script>alert(2)</script><br />
[ExtraParams] => 837<br>
<br>
<br>
<iframe src=http://www.google.com/ height=100% width=100%></iframe><br />
)<br />

No tengo idea de lo que hace esta secuencia de comandos php interna de FCKeditor y si podría convertirse en una fuente de contenido XSS en mi sistema. ¿Es este un problema genuino?

    
pregunta siliconpi 05.01.2011 - 13:28
fuente

2 respuestas

11

Por lo general, no hay mucho que pueda hacer con respecto a las vulnerabilidades en componentes de terceros.
Entre tus opciones:

  • Comience actualizando a la última versión. Si eso lo arregla, has terminado.
  • Póngase en contacto con el proveedor de manera responsable y obtenga una solución de ellos.
  • Si es de código abierto, intente parchearlo usted mismo o busque a alguien que lo haya hecho. Solo asegúrate de hacerlo bien, y arreglar XSS puede ser complicado y / o confuso.
  • Si ninguna de las opciones anteriores es posible, considere eliminar este componente de su sistema. Siempre es un riesgo, al tomar algún otro componente a ciegas, si no puede solucionarlo ...
  • De hecho, establezca una política para realizar una revisión de seguridad en cualquier código de terceros antes integrándolo en su sistema.
  • Si DEBE seguir utilizando un componente vulnerable, reconsidere :). Pero en realidad, si se trata de un acuerdo, considere protegerlo con un WAF (firewall de aplicación web). No resuelve el problema, pero puede ayudar a prevenir la explotación ...
respondido por el AviD 05.01.2011 - 23:34
fuente
11

FCKEditor es un editor de texto independiente de la plataforma para aplicaciones web.

Este tipo de exploit es un vector de ataque XSS reflejado. Puede leer más sobre esto en esta pregunta aquí: can-anybody-explique -xss .

Esto está sucediendo porque FCKEditor no desinfecta la entrada dada en las variables, lo que hace que la aplicación refleje las variables para el usuario.

Recomendaría los siguientes pasos:

  • actualizando al último FCKEditor
  • Parchelo yo mismo y, si eso no soluciona el problema, lo arreglaría yo mismo aplicando la correcta desinfección al script. En su caso, parece que una simple (int) conversión sería suficiente para abordar este problema.
  • Solicite un parche para el proveedor lo antes posible

También puede ver una lista de otras vulnerabilidades en FCKEditor over en exploit-db.com . ¡Solo recuerda seguir parcheando tus aplicaciones!

    
respondido por el Chris Dale 05.01.2011 - 13:42
fuente

Lea otras preguntas en las etiquetas

Cómo se usan los certificados X509 para el cifrado Revise las fotos para geoetiquetar y eliminar datos lat / long