KindEditor上传漏洞预警

https://github.com/kindsoft/kindeditor/issues/249

根据报告，主要由upload_json.*上传功能文件允许被直接调用从而实现上传htm,html,txt等文件到服务器，在实际已监测到的安全事件案例中，上传的htm,html文件中存在包含跳转到违法色情网站的代码，攻击者主要针对党政机关网站实施批量上传，建议使用该组件的网站系统尽快做好安全加固配置，防止被恶意攻击。

2. 漏洞描述

Kindeditor上的uploadbutton.html用于文件上传功能页面，直接POST到/upload_json.*?dir=file，在允许上传的文件扩展名中包含htm,html,txt：

extTable.Add("file","doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2");

该文件本是演示程序，实际部署中建议删除或使用之前仔细确认相关安全设置，但很多使用该组件的网站并没有删除也未做相关安全设置，从而导致漏洞被利用。

3. 影响范围

根据对GitHub代码版本测试，<= 4.1.11都存在上传漏洞，即默认有upload_json.*文件保留，但在4.1.12版本中该文件已经改名处理了，改成了upload_json.*.txt和file_manager_json.*.txt，从而再调用该文件上传时将提示不成功。

4.    缓解措施（安全运营建议）

高危：目前针对该漏洞的攻击活动变得活跃，建议尽快做好安全加固配置。

安全运营建议：

直接删除upload_json.*和file_manager_json.*即可。

安全开发生命周期（SDL）建议：KindEditor编辑器早在2017年就已被披露该漏洞详情，建议网站建设单位经常关注其系统使用的框架、依赖库、编辑器等组件的官方安全更新公告。

本文转自  安恒应急响应中心

▼点击“阅读原文” 查看更多精彩内容