fck编辑器漏洞利用_KindEditor上传漏洞预警

本文介绍了KindEditor编辑器的文件上传漏洞,攻击者利用此漏洞上传包含违法代码的htm,html文件,影响范围包括≤4.1.11的版本。建议删除upload_json.*和file_manager_json.*以加固安全。同时,提醒用户关注组件的安全更新公告。" 113638330,10535347,Spark操作数据实战:从MySQL到Hive,再到Kafka,"['Spark', '数据迁移', 'MySQL', 'Hive', 'Kafka']
摘要由CSDN通过智能技术生成

1. 上传漏洞

近日,安恒明鉴网站安全监测平台和应急响应中心监测发现近百起党政机关网站被植入色情广告页面,通过分析发现被植入色情广告页面的网站都使用了KindEditor编辑器组件,早在2017年GitHub上已有报告了KindEditor编辑器存在文件上传漏洞的分析,参考:

https://github.com/kindsoft/kindeditor/issues/249

根据报告,主要由upload_json.*上传功能文件允许被直接调用从而实现上传htm,html,txt等文件到服务器,在实际已监测到的安全事件案例中,上传的htm,html文件中存在包含跳转到违法色情网站的代码,攻击者主要针对党政机关网站实施批量上传,建议使用该组件的网站系统尽快做好安全加固配置,防止被恶意攻击。

2. 漏洞描述

Kindeditor上的uploadbutton.html用于文件上传功能页面,直接POST到/upload_json.*?dir=file,在允许上传的文件扩展名中包含htm,html,txt:

extTable.Add("file","doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2");

该文件本是演示程序,实际部署中建议删除或使用之前仔细确认相关安全设置,但很多使用该组件的网站并没有删除也未做相关安全设置,从而导致漏洞被利用。

3. 影响范围

根据对GitHub代码版本测试,<= 4.1.11都存在上传漏洞,即默认有upload_json.*文件保留,但在4.1.12版本中该文件已经改名处理了,改成了upload_json.*.txt和file_manager_json.*.txt,从而再调用该文件上传时将提示不成功。

4.    缓解措施(安全运营建议)

高危:目前针对该漏洞的攻击活动变得活跃,建议尽快做好安全加固配置。

安全运营建议:

直接删除upload_json.*和file_manager_json.*即可。

安全开发生命周期(SDL)建议:KindEditor编辑器早在2017年就已被披露该漏洞详情,建议网站建设单位经常关注其系统使用的框架、依赖库、编辑器等组件的官方安全更新公告。

本文转自  安恒应急响应中心

推荐阅读:

  • 德国也不陪美国了?德国反对美国称华为存在安全风险的说法

  • 中了GandCrab勒索病毒?别怕!这里有免费解密工具

  • 韩国SK电讯将推出自动驾驶汽车安全量子网关解决方案

  • 对华为态度转变?新西兰将自行对华为进行风险评估

  • 270万医疗通话记录曝光,数据泄露居然长达六年!

  • 谷歌地球在线平台更新出意外,泄露台湾军事基地

▼点击

dbf9e49c723d0ca7264f96e029720a14.png

喜欢记得打赏小E哦!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值