KindEditor上傳漏洞預警
1. 上傳漏洞
近日,安恆明鑑網站安全監測平臺和應急響應中心監測發現近百起黨政機關網站被植入色情廣告頁面,通過分析發現被植入色情廣告頁面的網站都使用了KindEditor編輯器元件,早在2017年GitHub上已有報告了KindEditor編輯器存在檔案上傳漏洞的分析,參考:
https://github.com/kindsoft/kindeditor/issues/249
根據報告,主要由upload_json.*上傳功能檔案允許被直接呼叫從而實現上傳htm,html,txt等檔案到伺服器,在實際已監測到的安全事件案例中,上傳的htm,html檔案中存在包含跳轉到違法色情網站的程式碼,攻擊者主要針對黨政機關網站實施批量上傳,建議使用該元件的網站系統儘快做好安全加固配置,防止被惡意攻擊。
2. 漏洞描述
Kindeditor上的uploadbutton.html用於檔案上傳功能頁面,直接POST到/upload_json.*?dir=file,在允許上傳的副檔名中包含htm,html,txt:
extTable.Add("file","doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2");
該檔案本是演示程式,實際部署中建議刪除或使用之前仔細確認相關安全設定,但很多使用該元件的網站並沒有刪除也未做相關安全設定,從而導致漏洞被利用。
3. 影響範圍
根據對GitHub程式碼版本測試,<= 4.1.11都存在上傳漏洞,即預設有upload_json.*檔案保留,但在4.1.12版本中該檔案已經改名處理了,改成了upload_json.*.txt和file_manager_json.*.txt,從而再呼叫該檔案上傳時將提示不成功。
4. 緩解措施(安全運營建議)
高危:目前針對該漏洞的攻擊活動變得活躍,建議儘快做好安全加固配置。
安全運營建議:
直接刪除upload_json.*和file_manager_json.*即可。
安全開發生命週期(SDL)建議:KindEditor編輯器早在2017年就已被披露該漏洞詳情,建議網站建設單位經常關注其系統使用的框架、依賴庫、編輯器等元件的官方安全更新公告。
本文轉自 安恆應急響應中心