技能支撑单位安恒应急相应中央监测创造:全国百家党政机关网站被植入色情广告页面,经剖析创造网站均利用KindEditor编辑器组件。漏洞风险级别为“高危”。现将漏洞详情通报如下:
一、漏洞情形
Kindeditor的uploadbutton.html为文件上传功能页面,直接将该页面POST至/upload_json.?dir=file页面许可上传的文件扩展名中包括doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2。
该文件运用中建议用户删除或利用前期确认的安全设置,但部分网站用户未删除且未做干系安全设置,导致漏洞被利用。
二、影响范围
Kindeditor<= 4.1.11。
三、处置建议
针对该漏洞的攻击活动日趋生动,攻击者紧张针对党政机关网站履行批量上传,建议利用该组件的网站系统尽快做好安全加固配置,防止被恶意攻击。
(一)安全运营方面:直接删除upload_json.和file_manager_json.即可。
(二)安全开拓生命周期(SDL)方面:建议网站培植单位持续关注其系统利用的框架、依赖库、编辑器等组件的官方安全更新公告。
附:参考链接:http://blog.sina.com.cn/s/blog_bf73626a0102zfqs.html
