近日,安恒明鉴网站安全监测平台和应急响应中心监测发现近百起党政机关网站被植入广告页面,分析发现被植入广告页面的网站都使用了KindEditor编辑器组件。
编辑器组件的作用就是网站后台上传网站前台展示信息的工具,编辑器组件种类较多,一般有360编辑器,百度编辑器,layer编辑器。
本次安全事件主要由upload_json.*上传功能文件允许被直接调用从而实现上传htm,html,txt等文件到服务器,在实际已监测到的安全事件案例中,上传的htm,html文件中存在包含跳转到违法网站的代码,攻击者主要针对党政机关网站实施批量上传,建议使用该组件的网站系统尽快做好安全加固配置,防止被恶意攻击。
根据对GitHub代码版本测试,<= 4.1.11的版本上都存在上传漏洞,即默认有upload_json.*文件保留,但在4.1.12版本中该文件已经改名处理了,改成了upload_json.*.txt和file_manager_json.*.txt,从而再调用该文件上传时将提示不成功。
文杰君发现,在2017年,已经有人在GitHub上提出过漏洞,
在最新的代码中,以asp.net为例,该漏洞也已经修复,对于个人来说,其实没有什么值得担心的,主要是公司网站,政府网站,发现漏洞及时修复。
本次漏洞级别为高危,目前针对该漏洞的攻击活动正变得活跃,建议尽快做好安全加固配置。
安全运营方面建议:直接删除upload_json.*和file_manager_json.*即可,或者升级版本。分享到:
閱讀更多 文傑君哥哥 的文章
