kindeditor

雷锋网AI研习社 AI投研邦活动专题爱搞机

业界人工智能学术开发者智能驾驶新智驾TV AI+金融科技未来医疗网络安全智慧城市智慧安防智慧教育智慧交通智慧社区智慧零售智慧政务机器人行业云智能硬件物联网GAIR
网络安全正文
1

KindEditor上传漏洞致近百个党政机关网站遭植入
本文作者：又田 2019-02-21 17:33
导语：目前针对该漏洞的攻击活动正变得活跃，建议尽快做好安全加固配置。
雷锋网(公众号：雷锋网)2月21日消息，近日，安恒明鉴网站安全监测平台和应急响应中心监测发现近百起党政机关网站被植入色情广告页面，分析发现被植入色情广告页面的网站都使用了KindEditor编辑器组件。

本次安全事件主要由upload_json.*上传功能文件允许被直接调用从而实现上传htm，html，txt等文件到服务器，在实际已监测到的安全事件案例中，上传的htm，html文件中存在包含跳转到违法色情网站的代码，攻击者主要针对党政机关网站实施批量上传，建议使用该组件的网站系统尽快做好安全加固配置，防止被恶意攻击。

根据对GitHub代码版本测试，<= 4.1.11的版本上都存在上传漏洞，即默认有upload_json.*文件保留，但在4.1.12版本中该文件已经改名处理了，改成了upload_json.*.txt和file_manager_json.*.txt，从而再调用该文件上传时将提示不成功。本次漏洞级别为高危，目前针对该漏洞的攻击活动正变得活跃，建议尽快做好安全加固配置。安全运营方面建议：直接删除upload_json.*和file_manager_json.*即可。安全开发生命周期（SDL）建议：KindEditor编辑器早在2017年就已被披露该漏洞详情，建议网站建设单位经常关注其系统使用的框架、依赖库、编辑器等组件的官方安全更新公告。雷锋网原创文章，未经授权禁止转载。详情见转载须知。 0人收藏分享：相关文章 KindEditor漏洞安卓4.4及后续版本被曝漏洞，登录凭证和浏览历史可遭 ... 大学生用京东白条漏洞骗走110万，官方回应：漏洞已修 ... 315|偷窃隐私——商场门口的探针盒子微软0day漏洞已遭多个威胁者利用，可完全控制用户电 ... 文章点评：我有话要说…… 表情同步到新浪微博提交又田编辑发私信当月热门文章如果外卖APP想窃听我，有几个骚操作？ 315|偷窃隐私——商场门口的探针盒子腾讯回应「露露事件」；中国区iPhone热度下跌50%；软银计划16亿美元第三次投滴滴|雷锋早报这里有你所不知道的手机诈骗类型视频|手机锁屏了APP能不能窃听？我亲自试了试最新文章中国破解特斯拉第一人刘健皓揭秘：360智能网联汽车安全项目怎么赚钱 Pwn2Own 2019第 3 天：黑客成功拿下了特斯拉和一大笔奖金超 10 万个 GitHub 仓库可泄漏 API 令牌及密钥太缺德！黑客居然操控飓风警报半夜惊醒两城居民脸书又双叒叕泄露6亿用户数据，GDPR：来小扎，我们聊聊胆大黑客竟敢入侵交警视频监控后台“销分”，这是什么鬼操作 | 视频监控安全系列（一）热门搜索华为物联网人脸识别Google Glass车联网用户体验Google play移动广告paypal电子商务智能投顾热门关键字热门标签人工智能机器人机器学习深度学习金融科技未来医疗智能驾驶自动驾驶计算机视觉激光雷达图像识别智能音箱区块链智能投顾医学影像物联网IoTCV微信小程序平台微信小程序在哪CES 2017CES2016年最值得购买的智能硬件2016 互联网小程序微信朋友圈抢票软件智能手机智能家居智能手环智能机器人智能电视360智能硬件智能摄像机智能硬件产品智能硬件发展智能硬件创业黑客白帽子大数据云计算新能源汽车无人驾驶无人机大疆小米无人机特斯拉VR游戏VR电影VR视频VR眼镜VR购物AR直播扫地机器人医疗机器人工业机器人类人机器人聊天机器人微信机器人微信小程序移动支付支付宝P2P区块链比特币风控高盛人脸识别指纹识别黑科技谷歌地图谷歌IBM微软乐视百度三星s8腾讯三星Note8 小米MIX小米Note华为小米阿里巴巴苹果MacBook ProiPhoneFacebookGAIRIROS双创周云栖大会先打智能硬件公司智能硬件QQ红包支付宝红包敬业福app广告平台华为p8工控安全人工智能深度学习华为 5g标准两轮车大疆悟2路桩安装ai公司无限流量卡4gble mesh微信资讯树莓派3代windows发布会黄金钱包更多联系我们关于我们加入我们意见反馈投稿申请专栏作者 Copyright © 2011-2019 www.leiphone.com 雷锋网-读懂智能&未来 All Rights Reserved 粤ICP备11095991号-1 ICP证粤B2-20150332 0daybank

kindeditor

文章评论