漏洞信息详情

CKSource FCKEditor‘spellchecker.php’跨站脚本漏洞

• CNNVD编号：CNNVD-201406-085
• 危害等级： 中危
  
• CVE编号： CVE-2014-4037
• 漏洞类型： 跨站脚本
• 发布时间： 2014-06-06
• 威胁类型： 远程
• 更新时间： 2014-06-13
• 厂        商： ckeditor
• 漏洞来源： Robin Bailey

漏洞简介

CKSource FCKeditor（现称CKEditor）是波兰CKSource公司的一套开源的、基于网页的文字编辑器。该编辑器具有轻量化、易于安装等特点。

CKSource FCKeditor 2.6.10及之前版本的editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php脚本中存在跨站脚本漏洞。远程攻击者可借助‘textinputs[]’参数中的数组key利用该漏洞注入任意Web脚本或HTML。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://ckeditor.com/blog/FCKeditor-2.6.11-Released

参考网址

来源:ckeditor.com

链接:http://ckeditor.com/blog/FCKeditor-2.6.11-Released

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/126902/FCKeditor-2.6.10-Cross-Site-Scripting.HTML

来源: BID

名称: 67807

链接:http://www.securityfocus.com/bid/67807

受影响实体

• Ckeditor Fckeditor:2.6.10  

补丁

• FCKeditor_2.6.11
• FCKeditor_2.6.11