KindEditor上传漏洞风险预警
1. 漏洞描述
Kindeditor上的uploadbutton.html用于文件上传功能页面,直接POST到/upload_json.*?dir=file,在允许上传的文件扩展名中包含htm,html,txt,extTable.Add(file,doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2);
该文件本是演示程序,实际部署中建议删除或使用之前仔细确认相关安全设置,但很多使用该组件的网站并没有删除也未做相关安全设置,从而导致漏洞被利用。
2. 影响范围
根据对GitHub代码版本测试,<= 4.1.11的版本上都存在上传漏洞,即默认有upload_json.*文件保留,但在4.1.12版本中该文件已经改名处理了,改成了upload_json.*.txt和file_manager_json.*.txt,从而再调用该文件上传时将提示不成功。
3. 缓解措施(安全建议)
本次漏洞级别为高危,目前针对该漏洞的攻击活动正变得活跃,建议尽快做好安全加固配置。
3.1 安全运营方面建议:直接删除upload_json.*和file_manager_json.*即可,升级kindeditor到最新版本;
3.2 安全开发生命周期(SDL)建议:KindEditor编辑器早在2017年就已被披露该漏洞详情,建议网站建设单位经常关注其系统使用的框架、依赖库、编辑器等组件的官方安全更新公告;
3.3 设置上传文件的存储目录禁用执行权限和普通用户读取权限。