Fckeditor
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.83865
Распределение по критичности
Критический
0
Высокий
2
Средний
6
Низкий
0
Затронутые диапазоны версий
≤ 2.6.4
Также сопоставлено как (исходные строки): fckeditor,phplist
Топ уязвимостей
CVE-2009-2265Множественные уязвимости обхода каталогов в FCKeditor до версии 2.6.4.1 позволяют удаленным злоумышленникам создавать исполняемые файлы в произвольных каталогах через последовательности обхода каталогов во входных данных для неуказанных модулей соединителя, как это было использовано в реальных условиях для удаленного выполнения кода в июле 2009 года, связанного с файловым браузером и каталогом editor/filemanager/connectors/.
CVE-2008-6178Уязвимость неограниченной загрузки файлов в editor/filemanager/browser/default/connectors/php/connector.php в FCKeditor 2.2, используемом в Falt4 CMS, Nuke ET и других продуктах, позволяет удаленным злоумышленникам выполнять произвольный код, создав файл с PHP-последовательностями, которым предшествует заголовок ZIP, загрузив этот файл через действие FileUpload с типом содержимого application/zip, а затем получив доступ к этому файлу через прямой запрос к файлу в UserFiles/File/, вероятно, проблема, связанная с CVE-2005-4094. ПРИМЕЧАНИЕ: некоторые из этих сведений получены из сторонних источников.
CVE-2006-0921Множественные уязвимости обхода каталогов в connector.php в FCKeditor 2.0 FC, используемом в таких продуктах, как RunCMS, позволяют удаленным злоумышленникам перечислять и создавать произвольные каталоги через .. (точка-точка) в параметре CurrentFolder для (1) GetFoldersAndFiles и (2) CreateFolder.
CVE-2006-2529editor/filemanager/upload/php/upload.php в FCKeditor до версии 2.3 Beta, когда включена функция загрузки, не проверяет параметр Type, что позволяет удаленным злоумышленникам загружать произвольные типы файлов. ПРИМЕЧАНИЕ: Неясно, связано ли это с CVE-2006-0658.
CVE-2006-0658Неполная уязвимость черного списка в connector.php в FCKeditor 2.0 и 2.2, используемом в таких продуктах, как RunCMS, позволяет удаленным злоумышленникам загружать и выполнять произвольные скриптовые файлы, присваивая файлам определенные расширения, которые не указаны в Config[DeniedExtensions][File], например .php.txt.
CVE-2005-0613Неизвестная уязвимость в FCKeditor 2.0 RC2, при использовании с PHP-Nuke, позволяет удаленным злоумышленникам загружать произвольные файлы.
CVE-2009-2324Множественные уязвимости межсайтового скриптинга (XSS) в FCKeditor до версии 2.6.4.1 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через компоненты в каталоге samples (aka _samples).
CVE-2006-6978Уязвимость межсайтового скриптинга (XSS) в "Basic Toolbar Selection" в FCKEditor позволяет удаленным злоумышленникам выполнять произвольный JavaScript через javascript: URI в атрибуте (1) href или (2) onmouseover тега A HTML.