CKFinder 2.5.0.1 : faille de sécurité du connecteur ASP.NETpour le gestionnaire de fichiers pour l'éditeur WYSIWYG CKEditor
CKFinder est un gestionnaire de fichiers utilisant la technologie de l'Ajax. Il est puissant et facile à implémenter dans les navigateurs Web. Cet outil fait suite au CKEditor, un éditeur de texte WYSIWYG, et s'y intègre parfaitement. Il est alors facile d'inclure en toute sécurité des fichiers et des images au contenu créé avec l'éditeur.
L'outil présente d'un côté la structure des répertoires accessibles sous forme d'arbre et de l'autre côté, des miniatures des fichiers images avec des informations sur le fichier. Relativement intuitive, l'interface est munie d'une barre de tâches et propose un menu contextuel.
Aujourd'hui, nous en sommes à la révision 2.5.0.1. Une révision assez minime mais concernant un problème de sécurité sur la version ASP.NET uniquement. Effectivement, il manquait des vérifications sur le connecteur et une authentification via la commande DownloadFile obtenait l'accès à n'importe quel fichier du serveur (selon les extensions autorisées dans les types de ressources définis).
Il est plutôt judicieux de mettre l'outil à jour si vous utilisez le connecteur ASP.NET.
Démonstration. Télécharger. Site officiel.