KindEditor网站编辑器组件上传漏洞利用预警示例分析

KindEditor网站编辑器组件上传漏洞利用预警示例分析,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。

蒲县网站制作公司哪家好,找成都创新互联!从网页设计、网站建设、微信开发、APP开发、成都响应式网站建设公司等网站项目制作,到程序开发,运营维护。成都创新互联于2013年创立到现在10年的时间,我们拥有了丰富的建站经验和运维经验,来保证我们的工作的顺利进行。专注于网站建设就选成都创新互联

0x00 漏洞背景

2019年02月21日,360CERT监测业内安全公司发布了多个政府网站被上传了非正常 HTML 页面。攻击者通过这些网站的 KindEditor 编辑器组件的漏洞进行攻击利用,KindEditor 组件中的upload_json.php 上传功能文件允许被直接调用从而实现任意上传 htm,html,txt 等文件到服务器

0x01 漏洞详情

该漏洞于 2017 年 7 月 14 日被提出,该漏洞可以利用 KindEditor 项目目录下 php/upload_json.php 直接进行(html, htm, txt)文件上传,而没有任何验证措施。

0x02 修复建议

及时删除 php/* 目录下的示例代码,框架作者也提及此处的代码只是用于测试,不要直接用于生产环境。

KindEditor网站编辑器组件上传漏洞利用预警示例分析

0x03 漏洞验证

KindEditor网站编辑器组件上传漏洞利用预警示例分析

KindEditor网站编辑器组件上传漏洞利用预警示例分析

关于KindEditor网站编辑器组件上传漏洞利用预警示例分析问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注创新互联行业资讯频道了解更多相关知识。


网站名称:KindEditor网站编辑器组件上传漏洞利用预警示例分析
标题链接:http://pwwzsj.com/article/ipiceg.html