龙空技术网

KindEditor上传漏洞致近百个党政机关网站遭植入

雷峰网 3857

前言:

此刻你们对“aspnet使用kindeditor”可能比较注重,咱们都需要知道一些“aspnet使用kindeditor”的相关知识。那么小编在网摘上网罗了一些对于“aspnet使用kindeditor””的相关知识,希望同学们能喜欢,朋友们快快来了解一下吧!

雷锋网2月21日消息,近日,安恒明鉴网站安全监测平台和应急响应中心监测发现近百起党政机关网站被植入色情广告页面,分析发现被植入色情广告页面的网站都使用了KindEditor编辑器组件。

本次安全事件主要由upload_json.*上传功能文件允许被直接调用从而实现上传htm,html,txt等文件到服务器,在实际已监测到的安全事件案例中,上传的htm,html文件中存在包含跳转到违法色情网站的代码,攻击者主要针对党政机关网站实施批量上传,建议使用该组件的网站系统尽快做好安全加固配置,防止被恶意攻击。

根据对GitHub代码版本测试,

本次漏洞级别为高危,目前针对该漏洞的攻击活动正变得活跃,建议尽快做好安全加固配置。

安全运营方面建议:直接删除upload_json.*和file_manager_json.*即可。

安全开发生命周期(SDL)建议:KindEditor编辑器早在2017年就已被披露该漏洞详情,建议网站建设单位经常关注其系统使用的框架、依赖库、编辑器等组件的官方安全更新公告。

标签: #aspnet使用kindeditor