KindEditor上傳漏洞致近百個黨政機關網站遭植入
新聞
02-21
雷鋒網2月21日消息,近日,安恆明鑒網站安全監測平台和應急響應中心監測發現近百起黨政機關網站被植入色情廣告頁面,分析發現被植入色情廣告頁面的網站都使用了KindEditor編輯器組件。
本次安全事件主要由upload_json.*上傳功能文件允許被直接調用從而實現上傳htm,html,txt等文件到伺服器,在實際已監測到的安全事件案例中,上傳的htm,html文件中存在包含跳轉到違法色情網站的代碼,攻擊者主要針對黨政機關網站實施批量上傳,建議使用該組件的網站系統儘快做好安全加固配置,防止被惡意攻擊。
根據對GitHub代碼版本測試,
本次漏洞級別為高危,目前針對該漏洞的攻擊活動正變得活躍,建議儘快做好安全加固配置。
安全運營方面建議:直接刪除upload_json.*和file_manager_json.*即可。
安全開發生命周期(SDL)建議:KindEditor編輯器早在2017年就已被披露該漏洞詳情,建議網站建設單位經常關注其系統使用的框架、依賴庫、編輯器等組件的官方安全更新公告。
※TLS 1.2協議現漏洞,近3000網站或受影響
※萬字長文 | 聯合國報告:發展中國家如何創新金融監管?
TAG:雷鋒網 |