KindEditor上傳漏洞預警

近日，安恆明鑒網站安全監測平台和應急響應中心監測發現近百起黨政機關網站被植入色情廣告頁面，通過分析發現被植入色情廣告頁面的網站都使用了KindEditor編輯器組件，早在2017年GitHub上已有報告了KindEditor編輯器存在文件上傳漏洞的分析，參考：

https://github.com/kindsoft/kindeditor/issues/249

根據報告，主要由upload_json.*上傳功能文件允許被直接調用從而實現上傳htm,html,txt等文件到伺服器，在實際已監測到的安全事件案例中，上傳的htm,html文件中存在包含跳轉到違法色情網站的代碼，攻擊者主要針對黨政機關網站實施批量上傳，建議使用該組件的網站系統儘快做好安全加固配置，防止被惡意攻擊。

2. 漏洞描述

Kindeditor上的uploadbutton.html用於文件上傳功能頁面，直接POST到/upload_json.*?dir=file，在允許上傳的文件擴展名中包含htm,html,txt：

extTable.Add("file","doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2");

該文件本是演示程序，實際部署中建議刪除或使用之前仔細確認相關安全設置，但很多使用該組件的網站並沒有刪除也未做相關安全設置，從而導致漏洞被利用。

根據對GitHub代碼版本測試，<= 4.1.11都存在上傳漏洞，即默認有upload_json.*文件保留，但在4.1.12版本中該文件已經改名處理了，改成了upload_json.*.txt和file_manager_json.*.txt，從而再調用該文件上傳時將提示不成功。

4. 緩解措施（安全運營建議）

高危：目前針對該漏洞的攻擊活動變得活躍，建議儘快做好安全加固配置。

安全運營建議：

直接刪除upload_json.*和file_manager_json.*即可。

安全開發生命周期（SDL）建議：KindEditor編輯器早在2017年就已被披露該漏洞詳情，建議網站建設單位經常關注其系統使用的框架、依賴庫、編輯器等組件的官方安全更新公告。

本文轉自 安恆應急響應中心

推薦閱讀：

• 德國也不陪美國了？德國反對美國稱華為存在安全風險的說法

• 中了GandCrab勒索病毒？別怕！這裡有免費解密工具

• 韓國SK電訊將推出自動駕駛汽車安全量子網關解決方案

• 對華為態度轉變？紐西蘭將自行對華為進行風險評估

• 270萬醫療通話記錄曝光，數據泄露居然長達六年！

• 谷歌地球在線平台更新出意外，泄露台灣軍事基地

▼點擊「閱讀原文」 查看更多精彩內容

喜歡記得打賞小E哦！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！