UEditor 1.4.3net漏洞 修补

最新推荐文章于 2024-10-12 15:58:04 发布
原创 最新推荐文章于 2024-10-12 15:58:04 发布 · 864 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #服务器 #运维

本文介绍了如何在config.json中指定允许上传的文件类型,并在CrawlerHandler.cs的CrawlerFetch方法中进行验证,以确保上传的文件格式正确,如遇到错误会返回相应的错误信息。

在config.json文件中添加要限定的文件名称

  "uploadAllLimitation": [
    ".png",
    ".jpg",
    ".jpeg",
    ".gif",
    ".bmp",   
    ".mp4",   
    ".mp3"   
  ] /* 列出的文件类型 */
}

在 CrawlerHandler.cs  类里面修改   public Crawler Fetch() 方法,并添加文件类型的验证

   // 新增格式的验证
          var listextension =  Config.GetStringList("uploadAllLimitation").ToList();

           string _extension = Path.GetExtension(ServerUrl.ToLower());

            if (!listextension.Contains(_extension))
            {
                State = "文件格式错误!";                
                SourceUrl = "";
                ServerUrl = "";
                return this;
            }
重新发布解决问题

老项目之UEditor漏洞问题
Mr.小灰狼_随笔
07-16 5401
老项目之UEditor漏洞问题 目录 1、文件上传漏洞 2、SSRF 漏洞 3、Upload XSS ueidtor 安全漏洞 _ UEditor SSRF 漏洞 ( JSP 版本 ) 分析与复现 1、项目所使用的 UEditor 组件存在 ssrf 漏洞 风险级别 : 低风险 风险分析 : 可通过此漏洞探测内容 ,甚至服务器权限...
实战纪实 | 编辑器漏洞Ueditor-任意文件上传漏洞 (老洞新谈)
zkaqlaoniao的博客
04-12 2万+
前段时间在做某政府单位的项目的时候发现存在该漏洞,虽然是一个老洞,但这也是容易被忽视,且能快速拿到shell的漏洞,在利用方式上有一些不一样的心得,希望能帮助到一些还不太了解的小伙伴,故此写了此篇文章。Ueditor是百度开发的一个网站编辑器,目前已经不对其进行后续开发和更新,该漏洞只存在于该编辑器的.net版本。其他的php,jsp,asp版本不受此UEditor漏洞的影响,.net存在任意文件上传,绕过文件格式的限制,在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断。
百度ueditor 1.4.3
03-21
1.4.3版 主要是为了防止百度升级 导致原有的jar不见,备份
百度编辑器UEditor v1.4.3 PHP版 GBK
05-10
UEditor1.4.3更新说明修复hasContents接口在非ie下只有空格时判断还为真的问题 修复在粘贴word内容时,会误命中cm,pt这样的文本内容变成px的问题 优化删除编辑器再创建编辑器时,编辑器的容器id发生变化的问题 修复提交jsonp请求时,callback参数的xss漏洞 新增jsp后台多种服务器配置下的路径定位 修复ZeroClipboard的flash地址参数名称错误 修复getActionUrl的bug 整理配置参数,把遗漏在代码中的配置项整理到ueditor.config.js里 修复图片拉伸工具和编辑拉伸长高器的样式冲突 修复文字的unicod
网站漏洞修复之最新版本UEditor漏洞
热门推荐
网站安全专家
08-30 12万+
UEditor于近日被曝出高危漏洞,包括目前官方UEditor 1.4.3.3 最新版本,都受到此漏洞的影响,ueditor是百度官方技术团队开发的一套前端编辑器,可以上传图片,写文字,支持自定义的html编写,移动端以及电脑端都可以无缝对接,自适应页面,图片也可以自动适应当前的上传路径与页面比例大小,一些视频文件的上传,开源,高效,稳定,安全,一直深受站长们的喜欢。 百度的UEditor...
UEditor上传漏洞修复
Prolovecui的博客
08-09 1769
UEditor漏洞修复
UEditor漏洞
2ed
07-29 1万+
UEditor是由百度开发的开源富文本编辑器,开源基于BSD协议,小巧灵活,使用简单,有很多web程序在使用UEditor编辑器。该任意文件上传漏洞存在于1.4.3.31.5.0版本中,并且只有.NET版本受该漏洞影响。黑客可以利用该漏洞上传木马文件,执行命令控制服务器
百度编辑器UEditor PHP版 v1.4.3
04-03
修复提交jsonp请求时,callback参数的xss漏洞 新增jsp后台多种服务器配置下的路径定位 修复ZeroClipboard的flash地址参数名称错误 修复getActionUrl的bug 整理配置参数,把遗漏在代码中的配置项整理到ueditor.config...
本人亲测修改。现在分享出来。uedito织梦dede更换ueditor1.4.3 最新,内有说明教程。。及bug修复
06-16
ueditor1.4.3是最新的版本之一,它可能包含了性能提升、界面改进和已知问题的修复。因此,将ueditO升级到ueditor1.4.3是一个提高网站后台管理效率的重要步骤。 在开始替换之前,务必遵循描述中的提示,对现有系统...
百度编辑器UEditor Asp版 v1.4.3
04-03
修复提交jsonp请求时,callback参数的xss漏洞 新增jsp后台多种服务器配置下的路径定位 修复ZeroClipboard的flash地址参数名称错误 修复getActionUrl的bug 整理配置参数,把遗漏在代码中的配置项整理到ueditor.config...
百度编辑器UEditor .NET版 v1.4.3
04-03
修复提交jsonp请求时,callback参数的xss漏洞 新增jsp后台多种服务器配置下的路径定位 修复ZeroClipboard的flash地址参数名称错误 修复getActionUrl的bug 整理配置参数,把遗漏在代码中的配置项整理到ueditor.config...
UEditor v1.4.3.3 .net版本任意文件上传 漏洞复现
Boom!脑洞大爆炸的博客
07-07 1万+
UEditor v1.4.3.3 .net版本任意文件上传 漏洞复现
【解决方案】网站漏洞修复之UEditor漏洞 任意文件上传漏洞
sxycxfwzy的专栏
01-08 2686
UEditor于近日被曝出高危漏洞,包括目前官方UEditor 1.4.3.3 最新版本,都受到此漏洞的影响,ueditor是百度官方技术团队开发的一套前端编辑器,可以上传图片,写文字,支持自定义的html编写,移动端以及电脑端都可以无缝对接,自适应页面,图片也可以自动适应当前的上传路径与页面比例大小,一些视频文件的上传,开源,高效,稳定,安全,一直深受站长们的喜欢。 漏洞从重现 我们下载官方UEditor 1.4.3.3版本,选择.net语言的,看最后更新日期是2016-05-26,我们找台服务器搭建
【亲测免费】 百度富文本编辑器UEditor 1.4.3版本
gitblog_09797的博客
09-05 807
百度富文本编辑器UEditor 1.4.3版本 【下载地址】百度富文本编辑器UEditor1.4.3版本 百度富文本编辑器UEditor 1.4.3版本 项目地址: https://gitcode.com/open-source-...
ueditor】任意文件上传漏洞与解决方案
菜鸟成长史
08-02 4094
是一款颇为老旧的富文本编辑器,曾经普遍流行过所以在一些老的项目里面,还会存在。但是该项目到目前为止已经永久停止更新,所以当发现漏洞时,只能自己维护。最好停止使用并更换富文本编辑器组件。
ueditor使用需修复的一些问题
tuine's blog
08-27 1483
原文地址:ueditor使用需修复的一些问题 1、调整图片按照上传顺序排序 修改:dialogs/image/image.js 718行后段位: uploader.on('uploadSuccess', function (file, ret) { var $file = $('#' + file.id); try { var responseText =...
深入解析UEditor 1.4.3-utf8-jsp:从安装到应用实战
最新发布
weixin_42599558的博客
10-12 1261
本文还有配套的精品资源,点击获取 简介:《UEditor 1.4.3-utf8-jsp 全面解析与应用》详细介绍了百度开源富文本编辑器UEditor的版本特性、安装配置和核心功能。文章探讨了如何在JSP环境中使用UTF-8编码集成UEditor,包括如何创建编辑器实例、调整编辑器参数以适应项目需求。同时也分享了UEditor的应用实践,如数据持久化、集成进CMS、响应式设计...
ueidtor安全漏洞_UEditor SSRF漏洞(JSP版本)分析与复现
weixin_33318722的博客
12-31 5489
作者: 浮萍@猎户安全实验室公众号:[猎户安全实验室](https://mp.weixin.qq.com/s/OPbyYQNWiN2dy_BHhqd9eg "猎户安全实验室")前些时间测试的时候遇到了一个系统采用了UEditor编辑器,版本为1.4.3。已知该编辑器v1.4.3版本存在SSRF漏洞,虽然是Bool型的SSRF,除了可以进行内网探测外,也可以根据web应用指纹信息,之后进行进一步的测...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蜗牛奔跑中

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值