FCKEDITOR安全問題

Question

我在drupal 6網站上運行FCKEDITOR 6.x-2.3，一羣黑客團隊工作，看看網站上是否有任何安全問題，他們發現一些FCKEDITOR漏洞，匿名用戶可以上傳文件到服務器使用一些上傳器如this one到服務器。

爲anonymouse用戶，我可以訪問direcotries如：

網站/所有/模塊/ FCKeditor的/ FCKeditor的/編輯/文件管理器/瀏覽器/默認/ browser.html

網站/所有/ modules/fckeditor/fckeditor/editor/filemanager/browser/default/frmupload.html

上傳我的上傳文件。有沒有辦法解決它？或者我應該忘記使用FCKEDITOR或任何其他wysiwyg編輯器？

Answer 1

您可以更新您的FCKEditor的模塊（檢查：http://drupal.org/node/1482442）

或者，您 可以使用，而不是FCKEDITOR CKEditor的。請參閱：http://drupal.org/project/ckeditor

我使用CKEditor遇到類似的安全問題。我已經在按照以下步驟進行：

這裏是更新的CKEditor和ckfinder過程：

1. 更新CKEDITOR 6.x版本1.13
2. 下載CK查找最新版本2.3
3. 解壓在網站ckfinder /所有/模塊/的contrib/CKEditor的/ ckfinder
4. 打開/all/module/contrib/ckeditor/ckfinder/config.php

5. 註釋掉CheckAuthentication（）函數

6. 添加下面兩行

7. $的baseUrl可能會有所不同取決於產品。

8. 打開/contrib/ckeditor/ckfinder/config.js

9. 添加下面幾行：

10. 注：我想請所有準備一套允許和拒絕的擴展 的

另外一個問題：在sites/default/settings.php文件中添加cookie_domain。