FCKeditorに脆弱性があるということで、Nucleusのプラグイン「NP_MitasNom.php」を手動でアップデート

たまたま、FCKeditorに脆弱性があるという記事を読みました。

FCKeditorの脆弱性を修正、ColdFusion攻撃に対処

このブログはColdFusionで書かれたものではないけど、NucleusでFCKeditorを使ったプラグイン「NP_MitasNom.php」を使用しているので、気になったので念のためFCKeditor 2.6.4.1にアップデートしました。
この脆弱性はColdFusionで使っている人だけであって、このブログのようにphpで書かれているNucleusには影響がない感じですね。

ちなみに現在、配布されているNP_MitasNom.phpに含まれるFCKeditorのバージョンは2.5.1です。
プラグインをインストールした状態だったので、明らかにFCKeditorのバージョンが古いですね・・・

基本的にはインストール時に配布されている「NP_MitasNom.php」の「mitasnom」ディレクトリにある以下のファイルを上書きします。

• fckconfig.js
• fckeditor.js
• fckeditor.php
• fckeditor_php4.php
• fckeditor_php5.php
• fckpackager.xml
• fckstyles.xml
• fcktemplates.xml

それから、「mitasnom」ディレクトリの中にある「editor」ディレクトリをそっくり入れ替える。

次にファイルアップロードの設定ファイル「mitasnom/editor/filemanager/connectors/php/config.php」を修正します。

画像をアップロードする場合は
$Config['Enabled'] = true ;
にします。

Nucleusのほかのプラグインなどの兼ね合いから
$Config['UserFilesPath'] = '/media/' ;
にします。

ちなみに現在もFCKeditor にはファイルアップロードの脆弱性があるらしく、直接upload.phpにアクセスされないようにupload.phpの先頭部分、著作権表示の後でかつ、最初の require(...) の前に次のコードを追加します。Geeklogが以下のような対応をしているので、ここでもしてみました。

if (strpos($_SERVER['PHP_SELF'], 'upload.php') !== false) {    die('This file can not be used on its own!');}

 mitasnom/editor/filemanager/connectors/の中にあるphp以外のフォルダは削除します。
アンダースコア(_)ではじまるフォルダも削除します。

あと、phpがsafe_modeになっているとイメージ挿込/編集から画像等をアップロードするときにmkdir()のエラーが出るかもしれません。
そのときは$Config['UserFilesPath'] = '/media/' ;で設定したディレクトリの下に「file」「image]「flash」「media」のディレクトリを手動で作成するといいと思います。（自分で使うものだけで、いいです。）

以上で、FCKeditor 2.6.4.1にアップデートは終了です。

FCKeditorのアップデートしたら投稿記事を書くのがかなり楽になりました。今まで使いづらくて四苦八苦してたのがうそみたいです。

ということで、NP_MitasNom.phpをこれから使ってみる方は、プラグインをインストールしただけではなく最新のFCKeditorに入れ替えたほうがいいと思います。