一、概要

近日，業(yè)界報告開源HTML編輯器KindEditor存在文件上傳漏洞并已出現(xiàn)攻擊事件。漏洞存在于KindEditor組件中的upload_json.*上傳功能文件允許被直接調(diào)用（沒有任何驗證措施）從而實現(xiàn)任意上傳 htm、html、txt 等文件到服務(wù)器，可造成網(wǎng)頁被篡改、植入惡意代碼等問題。

請使用到KindEditor的租戶檢查當前使用的版本，及時升級到安全版本。

參考鏈接：

https://github.com/kindsoft/kindeditor/issues/249

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急。）

三、影響范圍

KindEditor <= 4.1.11的版本

四、排查和處置方法

排查方法：

1. 檢查網(wǎng)站的Kindeditor 編輯器版本是否低于4.1.12；

2. 排查網(wǎng)站目錄中是否存在可疑htm，html，txt 等文件特別是文件上傳目錄；

3. 檢查網(wǎng)站服務(wù)器中是否存在Webshell 木馬程序；

4. 檢查網(wǎng)站服務(wù)器日志記錄，攻擊者有無提權(quán)或?qū)ζ渌?wù)器發(fā)起攻擊。

處置方案：

1. 隔離主機：將已被篡改的服務(wù)器隔離，關(guān)閉對外提供的網(wǎng)絡(luò)連接;

2. 修補漏洞：升級Kindeditor 編輯器版本為最新版本，刪除upload_json.*和file_manager_json.*名字開頭的文件；

3. 修改配置文件，限制文件上傳類型；

4. 使用專業(yè)的木馬查殺工具對全盤進行木馬查殺；

5. 查找攻擊源：查看網(wǎng)站日志或者其他審計設(shè)備，確定攻擊發(fā)生的時間，攻擊者的其他信息。

注意：修復(fù)漏洞前請將資料備份，并進行充分測試。