KindEditor 上传漏洞致近百个党政机关网站遭植入

栏目: IT资讯 · 发布时间: 5年前

内容简介:2月21日消息,近日,安恒明鉴网站安全监测平台和应急响应中心监测发现近百起党政机关网站被植入色情广告页面,分析发现被植入色情广告页面的网站都使用了 KindEditor 编辑器组件。 本次安全事件主要由 upload_jso...

2月21日消息,近日,安恒明鉴网站安全监测平台和应急响应中心监测发现近百起党政机关网站被植入色情广告页面,分析发现被植入色情广告页面的网站都使用了 KindEditor 编辑器组件。

本次安全事件主要由 upload_json.* 上传功能文件允许被直接调用从而实现上传 htm,html,txt 等文件到服务器,在实际已监测到的安全事件案例中,上传的 htm,html 文件中存在包含跳转到违法色情网站的代码,攻击者主要针对党政机关网站实施批量上传,建议使用该组件的网站系统尽快做好安全加固配置,防止被恶意攻击。

根据对 GitHub 代码版本测试,<= 4.1.11 的版本上都存在上传漏洞,即默认有 upload_json.* 文件保留,但在 4.1.12 版本中该文件已经改名处理了,改成了 upload_json.*.txt 和 file_manager_json.*.txt,从而再调用该文件上传时将提示不成功。

本次漏洞级别为高危,目前针对该漏洞的攻击活动正变得活跃,建议尽快做好安全加固配置。

安全运营方面建议:直接删除 upload_json.* 和 file_manager_json.* 即可。

安全开发生命周期(SDL)建议:KindEditor 编辑器早在2017年就已被披露该漏洞详情,建议网站建设单位经常关注其系统使用的框架、依赖库、编辑器等组件的官方安全更新公告。

来自:雷锋网


以上所述就是小编给大家介绍的《KindEditor 上传漏洞致近百个党政机关网站遭植入》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Graph Algorithms

Graph Algorithms

Shimon Even / Cambridge University Press / 2011-9-19 / USD 32.99

Shimon Even's Graph Algorithms, published in 1979, was a seminal introductory book on algorithms read by everyone engaged in the field. This thoroughly revised second edition, with a foreword by Richa......一起来看看 《Graph Algorithms》 这本书的介绍吧!

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具