阅读背景:

UEditor编辑器两个版本任意文件上传漏洞分析

来源:互联网 

0x01 前言

UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,具有轻量、可定制、用户体验优秀等特点 ,被广大WEB应用程序所使用;本次爆出的高危漏洞属于.NET版本,其它的版本暂时不受影响。漏洞成因是在抓取远程数据源的时候未对文件后缀名做验证导致任意文件写入漏洞,黑客利用此漏洞可以在服务器上执行任意指令,综合评级高危。由于时间仓促,本文分析不到位的地方还请多多谅解。UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器,




你的当前访问异常,请进行认证后继续阅读剩余内容。

分享到: