KindEditor上传漏洞安全通告
发布时间 2019-02-21漏洞编号和级别
CVE编号:无,危险级别:高危,CVSS分值:官方未评定
影响版本
Kindeditor <= 4.1.11版本
漏洞概述
KindEditor 是一套开源的在线HTML编辑器。
近日监测发现近百起党政机关网站被植入色情广告页面,分析发现被植入色情广告页面的网站都使用了KindEditor编辑器组件。本次安全事件主要由upload_json.*上传功能文件允许被直接调用从而实现上传htm、html、txt等文件到服务器,在实际已监测到的安全事件案例中,上传的htm、html文件中存在包含跳转到违法色情网站的代码,攻击者主要针对党政机关网站实施批量上传,建议使用该组件的网站系统尽快做好安全加固配置,防止被恶意攻击。
Kindeditor上的uploadbutton.html用于文件上传功能页面,直接POST到/upload_json.*?dir=file,在允许上传的文件扩展名中包含htm、html、txt:
extTable.Add("file","doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2");
该文件本是演示程序,实际部署中建议删除或使用之前仔细确认相关安全设置,但很多使用该组件的网站并没有删除也未做相关安全设置,从而导致漏洞被利用。
漏洞验证
POC/EXP:
https://github.com/kindsoft/kindeditor/issues/249
$ curl -F "imgFile=@test.html" http://example.com/kindeditor/php/upload_json.php?dir=file
{"error":0,"url":"/kindeditor/php/../attached/file/20170613/20170613203236_37481.html"}
修复建议
GitHub代码版本测试,Kindeditor<= 4.1.11的版本上都存在上传漏洞,即默认有upload_json.*文件保留,在4.1.12版本中该文件已经改名处理了,改成了upload_json.*.txt和file_manager_json.*.txt,从而再调用该文件上传时将提示不成功。KindEditor版本低于4.1.7存在目录遍历漏洞。
目前针对该漏洞的攻击活动正变得活跃,建议尽快做好安全加固配置。
直接删除upload_json.*和file_manager_json.*即可。
建议网站建设单位经常关注其系统使用的框架、依赖库、编辑器等组件的官方安全更新公告。
参考链接
https://github.com/kindsoft/kindeditor/issues/249
京公网安备11010802024551号