Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

CKFinder 2.5.0.1 : faille de sécurité du connecteur ASP.NET
Pour le gestionnaire de fichiers pour l'éditeur WYSIWYG CKEditor

Le , par vermine

0PARTAGES

1  0 
CKFinder 2.5.0.1 : faille de sécurité du connecteur ASP.NET
pour le gestionnaire de fichiers pour l'éditeur WYSIWYG CKEditor


CKFinder est un gestionnaire de fichiers utilisant la technologie de l'Ajax. Il est puissant et facile à implémenter dans les navigateurs Web. Cet outil fait suite au CKEditor, un éditeur de texte WYSIWYG, et s'y intègre parfaitement. Il est alors facile d'inclure en toute sécurité des fichiers et des images au contenu créé avec l'éditeur.


L'outil présente d'un côté la structure des répertoires accessibles sous forme d'arbre et de l'autre côté, des miniatures des fichiers images avec des informations sur le fichier. Relativement intuitive, l'interface est munie d'une barre de tâches et propose un menu contextuel.

Aujourd'hui, nous en sommes à la révision 2.5.0.1. Une révision assez minime mais concernant un problème de sécurité sur la version ASP.NET uniquement. Effectivement, il manquait des vérifications sur le connecteur et une authentification via la commande DownloadFile obtenait l'accès à n'importe quel fichier du serveur (selon les extensions autorisées dans les types de ressources définis).

Il est plutôt judicieux de mettre l'outil à jour si vous utilisez le connecteur ASP.NET.

Démonstration.
Télécharger.
Site officiel.

Une erreur dans cette actualité ? Signalez-le nous !