KindEditor 网站编辑器组件上传漏洞利用预警

0x00 漏洞背景

2019年02月21日，360CERT监测业内安全公司发布了多个政府网站被上传了非正常 HTML 页面。攻击者通过这些网站的 KindEditor 编辑器组件的漏洞进行攻击利用，KindEditor 组件中的上传功能文件允许被直接调用从而实现任意上传 htm,html,txt 等文件到服务器。

0x01 漏洞详情

该漏洞于 2017 年 7 月 14 日被提出，该漏洞可以利用 KindEditor 项目目录下 php/upload_json.php 直接进行(html, htm, txt)文件上传，而没有任何验证措施。

0x02 修复建议

及时删除 php/* 目录下的示例代码，框架作者也提及此处的代码只是用于测试，不要直接用于生产环境。

0x03 漏洞验证

0x04 时间线

2019-02-21安恒信息发布预警

2019-02-21360CERT发布预警

0x05 参考链接

Remote file upload vulnerability in ver

[https://github.com/kindsoft/kindeditor/issues/249]

紧急漏洞预警丨KindEditor上传漏洞致近百个党政机关网站遭植入

[

https://mp.weixin.qq.com/s/7OzkJAxsX-idxpSeTAXeiA

]

长按下方二维码关注360CERT！谢谢你的关注！