KindEditor上传误差清静通告

宣布时间 2019-02-21

误差编号和级别


CVE编号:无,危险级别:高危,CVSS分值:官方未评定


影响版本


Kindeditor <= 4.1.11版本


误差概述


KindEditor 是一套开源的在线HTML编辑器 。


克日监测发明近百起党政机关网站被植入色情广告页面,剖析发明被植入色情广告页面的网站都使用了KindEditor编辑器组件 。本次清静事务主要由upload_json.*上传功效文件允许被直接挪用从而实现上传htmhtmltxt等文件到服务器,在现实已监测到的清静事务案例中,上传的htmhtml文件中保存包括跳转到违法色情网站的代码,攻击者主要针对党政机关网站实验批量上传,建议使用该组件的网站系统尽快做好清静加固设置,避免被恶意攻击 。


Kindeditor上的uploadbutton.html用于文件上传功效页面,直接POST/upload_json.*?dir=file,在允许上传的文件扩展名中包括htmhtmltxt


extTable.Add("file","doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2");


该文件本是演示程序,现实安排中建议删除或使用之前仔细确认相关清静设置,但许多使用该组件的网站并没有删除也未做相关清静设置,从而导致误差被使用 。


误差验证


POC/EXP


https://github.com/kindsoft/kindeditor/issues/249

$ curl -F "imgFile=@test.html" http://example.com/kindeditor/php/upload_json.php?dir=file

{"error":0,"url":"/kindeditor/php/../attached/file/20170613/20170613203236_37481.html"}


修复建议


GitHub代码版本测试,Kindeditor<= 4.1.11的版本上都保存上传误差,即默认有upload_json.*文件保存,在4.1.12版本中该文件已经更名处置惩罚了,改成了upload_json.*.txtfile_manager_json.*.txt,从而再挪用该文件上传时将提醒不乐成 。KindEditor版本低于4.1.7保存目录遍历误差 。


现在针对该误差的攻击运动正变得活跃,建议尽快做好清静加固设置 。


直接删除upload_json.*file_manager_json.*即可 。


建议网站建设单位经常关注其系统使用的框架、依赖库、编辑器等组件的官方清静更新通告 。

 

参考链接


https://github.com/kindsoft/kindeditor/issues/249