99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

0x00 漏洞背景

2019 年 02 月 21 日，業(yè)內(nèi)安全公司發(fā)布了多個政府網(wǎng)站被上傳了非正常 HTML 頁面。攻擊者通過這些網(wǎng)站的 KindEditor 編輯器組件的漏洞進行攻擊利用，KindEditor 組件中的upload_json.php 上傳功能文件允許被直接調(diào)用從而實現(xiàn)任意上傳 htm,html,txt 等文件到服務(wù)器。

0x01 漏洞詳情

該漏洞于 2017 年 7 月 14 日被提出，該漏洞可以利用 KindEditor 項目目錄下 php/upload_json.php 直接進行(html, htm, txt)文件上傳，而沒有任何驗證措施。

0x02 修復建議

及時刪除 php/* 目錄下的示例代碼，框架作者也提及此處的代碼只是用于測試，不要直接用于生產(chǎn)環(huán)境。

0x03 漏洞驗證

0x04 時間線

2019-02-21?安恒信息發(fā)布預警

2019-02-21?360CERT發(fā)布預警

0x05 參考鏈接

1. Remote file upload vulnerability in ver <= 4.1.12 · Issue #249 · kindsoft/kindeditor
2. 緊急漏洞預警丨KindEditor上傳漏洞致近百個黨政機關(guān)網(wǎng)站遭植入