1
雷鋒網2月21日消息,近日,安恒明鑒網站安全監測平臺和應急響應中心監測發現近百起黨政機關網站被植入色情廣告頁面,分析發現被植入色情廣告頁面的網站都使用了KindEditor編輯器組件。
本次安全事件主要由upload_json.*上傳功能文件允許被直接調用從而實現上傳htm,html,txt等文件到服務器,在實際已監測到的安全事件案例中,上傳的htm,html文件中存在包含跳轉到違法色情網站的代碼,攻擊者主要針對黨政機關網站實施批量上傳,建議使用該組件的網站系統盡快做好安全加固配置,防止被惡意攻擊。
根據對GitHub代碼版本測試,<= 4.1.11的版本上都存在上傳漏洞,即默認有upload_json.*文件保留,但在4.1.12版本中該文件已經改名處理了,改成了upload_json.*.txt和file_manager_json.*.txt,從而再調用該文件上傳時將提示不成功。
本次漏洞級別為高危,目前針對該漏洞的攻擊活動正變得活躍,建議盡快做好安全加固配置。
安全運營方面建議:直接刪除upload_json.*和file_manager_json.*即可。
安全開發生命周期(SDL)建議:KindEditor編輯器早在2017年就已被披露該漏洞詳情,建議網站建設單位經常關注其系統使用的框架、依賴庫、編輯器等組件的官方安全更新公告。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
