关于KindEditor编辑器上传漏洞的安全预警

一、概要

近日，业界报告开源HTML编辑器KindEditor存在文件上传漏洞并已出现攻击事件。漏洞存在于KindEditor组件中的upload_json.*上传功能文件允许被直接调用（没有任何验证措施）从而实现任意上传 htm、html、txt 等文件到服务器，可造成网页被篡改、植入恶意代码等问题。

请使用到KindEditor的租户检查当前使用的版本，及时升级到安全版本。

参考链接：

https://github.com/kindsoft/kindeditor/issues/249

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急。）

三、影响范围

KindEditor <= 4.1.11的版本

四、排查和处置方法

排查方法：

1. 检查网站的Kindeditor 编辑器版本是否低于4.1.12；

2. 排查网站目录中是否存在可疑htm，html，txt 等文件特别是文件上传目录；

3. 检查网站服务器中是否存在websehll 木马程序；

4. 检查网站服务器日志记录，攻击者有无提权或对其他服务器发起攻击。

处置方案：

1. 隔离主机：将已被篡改的服务器隔离，关闭对外提供的网络连接;

2. 修补漏洞：升级Kindeditor 编辑器版本为最新版本，删除upload_json.*和file_manager_json.*名字开头的文件；

3. 修改配置文件，限制文件上传类型；

4. 使用专业的木马查杀工具对全盘进行木马查杀；

5. 查找攻击源：查看网站日志或者其他审计设备，确定攻击发生的时间，攻击者的其他信息。

注意：修复漏洞前请将资料备份，并进行充分测试。