内容简介:CKFinder 3.5.1 和 2.6.3 发布了。CKFinder 是一个易于使用的 Ajax 文件管理器。提供文件夹树形结构(Folders tree)导航菜单,多语言支持(自动探测用),支持创建/重命名/删除文件和文件夹,集成 FCKeditor 在线编...
CKFinder 3.5.1 和 2.6.3 发布了。CKFinder 是一个易于使用的 Ajax 文件管理器。提供文件夹树形结构(Folders tree)导航菜单,多语言支持(自动探测用),支持创建/重命名/删除文件和文件夹,集成 FCKeditor 在线编辑器。
更新了安全准则
在某些情况下,上传文件(无扩展名和允许扩展名)可能会导致 XSS 漏洞:
- CKFinder 配置为将文件上载到可公开访问的文件夹
- 当从公共文件夹中提供文件时,Web 服务器不会向所有 HTTP 响应发送
X-Content-Type-Options: nosniff标头
在上述条件下,恶意用户可以上传没有 .html 扩展名的文件,该扩展名将由某些浏览器(如常规 HTML 文件)呈现。这是由于内容嗅探而发生的,因为某些浏览器会对原始文件内容执行额外检查。
相关 CVE:CVE-2019-15891
CKFinder 2.6.3
CKFinder 2.6.3 包含应用程序服务器端部分安全修补程序,强烈建议进行更新。CKFinder 2.6.3 的安全补丁已添加到 PHP 、ASP.NET、ASP 和 ColdFusion 服务器端连接器中。 Java 版本没有受到影响。
版本 2.6.3 引入了一种特殊类型的扩展(no_ext),它允许服务器管理员启用上传文件,而无需任何扩展。
官方建议始终为上传文件定义受允许的扩展名,并按照指南中的说明设置安全服务器配置。
相关 CVE:CVE-2019-15862
CKFinder 3.5.1
在 CKFinder 3 中,没有扩展名就无法上传文件。此功能已在 3.5.1 版本中添加,但为了允许此类文件,必须在定义允许或拒绝文件扩展名列表时使用特殊的 no_ext 扩展名显式启用它们。
下载地址:https://ckeditor.com/ckfinder/download/
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 谷歌更新行为准则,普世称赞的“不作恶”文化已成往事?
- 机器学习十二大经验准则
- [译] React 团队的技术准则
- HBase漫谈 | HBase技术选型准则
- 让持续部署微服务的实践和准则
- 前5个REST API开发安全准则
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
蚁群算法原理及其应用
段海滨 / 科学出版社 / 2005年2月1日 / 48.0
《蚁群算法原理及其应用(精装)》系统、深入地介绍了蚁群算法的原理及其应用,力图概括国内外在这一学术领域的最新研究进展。全书共包括10章,主要内容包括蚁群算法的思想起源、研究现状及机制原理;蚁群算法的复杂度分析;蚁群算法的收敛性证明;蚁群算法参数对其性能的影响;蚁群算法的参数选择原则;离散域和连续域蚁群算法的若干改进策略;蚁群算法在多个优化领域的典型应用;蚁群算法的硬件实现技术;蚁群算法与其他仿生优......一起来看看 《蚁群算法原理及其应用》 这本书的介绍吧!
