CKFinder 3.5.1 和 2.6.3 发布，更新安全准则

CKFinder 3.5.1 和 2.6.3 发布了。CKFinder 是一个易于使用的 Ajax 文件管理器。提供文件夹树形结构(Folders tree)导航菜单，多语言支持（自动探测用），支持创建/重命名/删除文件和文件夹，集成 FCKeditor 在线编辑器。

更新了安全准则

在某些情况下，上传文件（无扩展名和允许扩展名）可能会导致 XSS 漏洞：

• CKFinder 配置为将文件上载到可公开访问的文件夹
• 当从公共文件夹中提供文件时，Web 服务器不会向所有 HTTP 响应发送 X-Content-Type-Options: nosniff 标头

在上述条件下，恶意用户可以上传没有 .html 扩展名的文件，该扩展名将由某些浏览器（如常规 HTML 文件）呈现。这是由于内容嗅探而发生的，因为某些浏览器会对原始文​​件内容执行额外检查。

相关 CVE：CVE-2019-15891

CKFinder 2.6.3

CKFinder 2.6.3 包含应用程序服务器端部分安全修补程序，强烈建议进行更新。CKFinder 2.6.3 的安全补丁已添加到 PHP、ASP.NET、ASP 和 ColdFusion 服务器端连接器中。 Java 版本没有受到影响。

版本 2.6.3 引入了一种特殊类型的扩展（no_ext），它允许服务器管理员启用上传文件，而无需任何扩展。

官方建议始终为上传文件定义受允许的扩展名，并按照指南中的说明设置安全服务器配置。

相关 CVE：CVE-2019-15862

CKFinder 3.5.1

在 CKFinder 3 中，没有扩展名就无法上传文件。此功能已在 3.5.1 版本中添加，但为了允许此类文件，必须在定义允许或拒绝文件扩展名列表时使用特殊的 no_ext 扩展名显式启用它们。

发布公告

下载地址：https://ckeditor.com/ckfinder/download/