近日,多家党政机关、企事业单位网站被植入色情广告页面,经查,被植入色情广告页面的网站所使用的KindEditor编辑器组件中存在文件上传漏洞,该漏洞曾于2017年曝出。针对该情况,为进一步加强我市网络安全防范工作,我中心组织技术支持单位对该漏洞进行分析,并提出网络安全提示,现将具体情况汇总如下:
一、漏洞基本情况
Kindeditor上的uploadbutton.html是用于文件上传功能的页面,因其upload_json.*上传功能文件允许被直接调用,从而实现上传htm,html,txt等文件到服务器,攻击者利用此漏洞可直接在上传的htm,html文件中添加跳转到违法网站的代码,实现攻击。该文件很多使用该组件的网站并没有删除也未做相关安全设置,从而导致漏洞被利用。
二、影响范围
KindEditor <= 4.1.11的所有代码版本均存在上传漏洞。
三、网络安全工作提示
该漏洞危害大,近期利用该漏洞的攻击活动较为活跃,请各通报成员单位接通报后立即开展如下工作:一是及时进行缓解操作。在KindEditor编辑器中直接删除upload_json.*和file_manager_json.*文件即可。二是关注官方升级公告。KindEditor编辑器早在2017年就已被披露该漏洞详情,建议使用该编辑器的单位及时关注其系统使用的框架、依赖库、编辑器等组件的官方安全更新公告。三是及时通报。请各单位接通报后立即开展自查工作,如发生网络安全事件及时上报。
地址:江苏省苏州市十梓街327号沧浪创业园5楼508室
邮编:215006
座机:0512-65822759
地址:江苏省南京市珠江路88号新世界中心A座1407室
邮编:210018
座机:025-84533280
服务热线: