KindEditor 上传漏洞致近百个党政机关网站遭植入

局长
 局长
发布于 2019年02月23日
收藏 35

2月21日消息,近日,安恒明鉴网站安全监测平台和应急响应中心监测发现近百起党政机关网站被植入色情广告页面,分析发现被植入色情广告页面的网站都使用了 KindEditor 编辑器组件。

本次安全事件主要由 upload_json.* 上传功能文件允许被直接调用从而实现上传 htm,html,txt 等文件到服务器,在实际已监测到的安全事件案例中,上传的 htm,html 文件中存在包含跳转到违法色情网站的代码,攻击者主要针对党政机关网站实施批量上传,建议使用该组件的网站系统尽快做好安全加固配置,防止被恶意攻击。

根据对 GitHub 代码版本测试,<= 4.1.11 的版本上都存在上传漏洞,即默认有 upload_json.* 文件保留,但在 4.1.12 版本中该文件已经改名处理了,改成了 upload_json.*.txt 和 file_manager_json.*.txt,从而再调用该文件上传时将提示不成功。

本次漏洞级别为高危,目前针对该漏洞的攻击活动正变得活跃,建议尽快做好安全加固配置。

安全运营方面建议:直接删除 upload_json.* 和 file_manager_json.* 即可。

安全开发生命周期(SDL)建议:KindEditor 编辑器早在2017年就已被披露该漏洞详情,建议网站建设单位经常关注其系统使用的框架、依赖库、编辑器等组件的官方安全更新公告。

来自:雷锋网

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:KindEditor 上传漏洞致近百个党政机关网站遭植入
加载中

精彩评论

Daniel-01
Daniel-01
据说,很多ZF网站,那个提交意见的 Button 按钮,绑定的事件,其实就是个alert("")
鞋底两万里
鞋底两万里
zf网站都很少会有后期维护,开发的时候什么样,现在就什么样
Pader
Pader
这些前端组件带的后端功能,比如上传从来都不会直接用。
会的不多
会的不多

引用来自“鞋底两万里”的评论

zf网站都很少会有后期维护,开发的时候什么样,现在就什么样
alert("缓存清理成功"); 👏
随風飞揚
随風飞揚
不用长期不更新的组件

最新评论(20

ohergal
ohergal

引用来自“最后的夏天”的评论

建议网站建设单位经常关注其系统使用的框架、依赖库、编辑器等组件的官方安全更新公告
不存在的,这些外包公司能把做项目的钱要回来就不错了,别说给你维护了,搞你可能就是尾款没付清.
梅开源
梅开源
我局固若金汤,请领导放心。
四个颜色
四个颜色

引用来自“Daniel-01”的评论

据说,很多ZF网站,那个提交意见的 Button 按钮,绑定的事件,其实就是个alert("")
真假,我验证下去
刘海棠
刘海棠

引用来自“鞋底两万里”的评论

zf网站都很少会有后期维护,开发的时候什么样,现在就什么样

引用来自“会的不多”的评论

alert("缓存清理成功"); 👏
哈哈
冰雪旧痕
冰雪旧痕

引用来自“鞋底两万里”的评论

zf网站都很少会有后期维护,开发的时候什么样,现在就什么样

引用来自“会的不多”的评论

alert("缓存清理成功"); 👏

引用来自“jolly1314”的评论

alter……
就是alert……意思完全不一样的
jolly1314
jolly1314

引用来自“鞋底两万里”的评论

zf网站都很少会有后期维护,开发的时候什么样,现在就什么样

引用来自“会的不多”的评论

alert("缓存清理成功"); 👏
alter……
Annie丶zyd
Annie丶zyd

引用来自“Daniel-01”的评论

据说,很多ZF网站,那个提交意见的 Button 按钮,绑定的事件,其实就是个alert("")
牛逼了,有时间看看
绕太阳一周
绕太阳一周
zf可能还在用xp系统😄
乳沟
乳沟
编辑器只用tinymce,其他国内的都是浮云。接受一切反驳!
灰灰
灰灰

引用来自“Daniel-01”的评论

据说,很多ZF网站,那个提交意见的 Button 按钮,绑定的事件,其实就是个alert("")
@Daniel-01 还有这事?
返回顶部
顶部