彩圣观点

 

当前位置:首页 >> 彩圣观点 >> 网站维护 | 关于KindEditor编辑器存在安全漏洞

网站维护 | 关于KindEditor编辑器存在安全漏洞
来源:上海网站维护     发布时间:2019/4/16
近日,多家企事业单位反映网站被植入色情广告页面,经查,被植入色情广告页面的网站所使用的KindEditor编辑器组件中存在文件上传漏洞,该漏洞曾于2017年曝出。针对该情况,彩圣策划(http://www.51csit.com)为进一步加强网络安全防范工作,现提出网络安全提示如下:

一、 漏洞基本情况

Kindeditor上的uploadbutton.html是用于文件上传功能的页面,因其upload_json.*上传功能文件允许被直接调用,从而实现上传htm,html,txt等文件到服务器,攻击者利用此漏洞可直接在上传的htm,html文件中添加跳转到违法网站的代码,实现攻击。该文件很多使用该组件的网站并没有删除也未做相关安全设置,从而导致漏洞被利用。

二、影响范围

KindEditor <= 4.1.11的所有代码版本均存在上传漏洞。

三、网络安全工作提示

该漏洞危害大,近期利用该漏洞的攻击活动较为活跃,彩圣策划网络维护专员建议:

一是及时进行缓解操作。在KindEditor编辑器中直接删除upload_json.*和file_manager_json.*文件即可。

二是关注官方升级公告。KindEditor编辑器早在2017年就已被披露该漏洞详情,建议使用该编辑器的单位及时关注其系统使用的框架、依赖库、编辑器等组件的官方安全更新公告。

网站维护咨询热线:021-60895095

上一篇:搜索引擎营销推广技巧
下一篇:ASP网站维护|本地可以读取Access数据库,上...
工信部备案信息 彩圣策划公网安备 上海工商企业亮照 CNNIC代理机构备案查询