KindEditor上傳漏洞預(yù)警

杭州安恒信息技術(shù)股份有限公司KindEditor上傳漏洞預(yù)警安恒應(yīng)急響應(yīng)中心2019年2月上傳漏洞近日，安恒明鑒網(wǎng)站安全監(jiān)測(cè)平臺(tái)和應(yīng)急響應(yīng)中心監(jiān)測(cè)發(fā)現(xiàn)近百起黨政機(jī)關(guān)網(wǎng)站被植入色情廣告頁(yè)面，通過(guò)分析發(fā)現(xiàn)被植入色情廣告頁(yè)面的網(wǎng)站都使用了KindEditor編輯器組件，早在2017年GitHub上已有報(bào)告了KindEditor編輯器存在文件上傳漏洞的分析，參考：/kindsoft/kindeditor/issues/249根據(jù)報(bào)告，主要由upload_json.*上傳功能文件允許被直接調(diào)用從而實(shí)現(xiàn)上傳htm,html,txt等文件到服務(wù)器，在實(shí)際已監(jiān)測(cè)到的安全事件案例中，上傳的htm,html文件中存在包含跳轉(zhuǎn)到違法色情網(wǎng)站的代碼，攻擊者主要針對(duì)黨政機(jī)關(guān)網(wǎng)站實(shí)施批量上傳，建議使用該組件的網(wǎng)站系統(tǒng)盡快做好安全加固配置，防止被惡意攻擊。漏洞描述Kindeditor上的uploadbutton.html用于文件上傳功能頁(yè)面，直接POST到/upload_json.*?dir=file，在允許上傳的文件擴(kuò)展名中包含htm,html,txt：extTable.Add("file","doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2");該文件本是演示程序，實(shí)際部署中建議刪除或使用之前仔細(xì)確認(rèn)相關(guān)安全設(shè)置，但很多使用該組件的網(wǎng)站并沒(méi)有刪除也未做相關(guān)安全設(shè)置，從而導(dǎo)致漏洞被利用。影響范圍根據(jù)對(duì)GitHub代碼版本測(cè)試，<=4.1.11都存在上傳漏洞，即默認(rèn)有upload_json.*文件保留，但在4.1.12版本中該文件已經(jīng)改名處理了，改成了upload_json.*.txt和file_manager_json.*.txt，從而再調(diào)用該文件上傳時(shí)將提示不成功。緩解措施（安全運(yùn)營(yíng)建議）高危：目前針對(duì)該漏洞的攻擊活動(dòng)變得活躍，建議盡快做好安全加固配置。安全運(yùn)營(yíng)建議：直接刪除upload_json.*和file_manager_json.*即可。安全開(kāi)發(fā)生命周期（SDL）建議：KindEditor編輯器早在2017年就已