CKFinder 3.5.1 和 2.6.3 发布,更新安全准则
CKFinder 3.5.1 和 2.6.3 发布了。CKFinder 是一个易于使用的 Ajax 文件管理器。提供文件夹树形结构(Folders tree)导航菜单,多语言支持(自动探测用),支持创建/重命名/删除文件和文件夹,集成 FCKeditor 在线编辑器。
更新了安全准则
在某些情况下,上传文件(无扩展名和允许扩展名)可能会导致 XSS 漏洞:
- CKFinder 配置为将文件上载到可公开访问的文件夹
- 当从公共文件夹中提供文件时,Web 服务器不会向所有 HTTP 响应发送
X-Content-Type-Options: nosniff
标头
在上述条件下,恶意用户可以上传没有 .html 扩展名的文件,该扩展名将由某些浏览器(如常规 HTML 文件)呈现。这是由于内容嗅探而发生的,因为某些浏览器会对原始文件内容执行额外检查。
相关 CVE:CVE-2019-15891
CKFinder 2.6.3
CKFinder 2.6.3 包含应用程序服务器端部分安全修补程序,强烈建议进行更新。CKFinder 2.6.3 的安全补丁已添加到 PHP、ASP.NET、ASP 和 ColdFusion 服务器端连接器中。 Java 版本没有受到影响。
版本 2.6.3 引入了一种特殊类型的扩展(no_ext),它允许服务器管理员启用上传文件,而无需任何扩展。
官方建议始终为上传文件定义受允许的扩展名,并按照指南中的说明设置安全服务器配置。
相关 CVE:CVE-2019-15862
CKFinder 3.5.1
在 CKFinder 3 中,没有扩展名就无法上传文件。此功能已在 3.5.1 版本中添加,但为了允许此类文件,必须在定义允许或拒绝文件扩展名列表时使用特殊的 no_ext
扩展名显式启用它们。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
fastjson 1.2.60 发布,修复导致 DoS 的问题
fastjson1.2.60 发布了,这是一个 bug 修复安全加固版本,增加了 AutoType 黑名单,修复了一个导致拒绝服务的问题。 具体更新内容: 安全增强,增加 AutoType 黑名单,修复特定场景导致拒绝服务的问题 序列化支持 org.json.JSONObject 类型 修复某些场景 Enum 定制反序列化不生效的问题 修复某些场景解析非法字符串不抛异常的问题 修复 JSONField 配置 WriteBigDecimalAsPlain 不生效的问题 增强 Builder 模式支持,JSONPOJOBuilder 支持 withPrefix 为空字符串等 修复全接口对象@transient不起作用的问题 修复解析 base64 字符串带'/'解析错误的问题 修复使用 JSONField 指定序列化使用单引号不生效的问题 修复使用 JSONField 指定 WriteMapNullValue 特性不生效的问题 反序列化自动识别日期格式支持'yyyy-MM-dd HH??ss,SSS' 反序列化日期格式支持 unixtime 修复序列化 byte[] 在某些场景报错的问...
- 下一篇
Spring Boot 2.1.8 发布
Spring Boot 2.1.8 发布了,更新内容如下: New Features 添加了 Issuer Validation 的其他资源服务器配置#17952 在依赖关系管理中公开依赖管理插件版本#17842 Bug Fixes 使用未命名为 flywayInitializer 的自定义 FlywayMigrationInitializer bean 的 NoSuchBeanDefinitionException#18105 使用未命名为 flyway 的自定义 Flyway bean 的 NoSuchBeanDefinitionException#18102 使用 Netty 时,无效的内容类型标头值会导致请求在启用压缩时卡住#18018 ApplicationContextRequestMatcher 可以使用错误的 ApplicationContext#18012 Spring Boot CLI 无法始终捕获 ctrl-c#17976 TypeUtils.process(TypeDescriptor, TypeMirror)吞下异常消息和堆栈跟踪#17974 非 MVC We...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS7安装Docker,走上虚拟化容器引擎之路