雷鋒網(wǎng)2月21日消息，近日，安恒明鑒網(wǎng)站安全監(jiān)測平臺和應(yīng)急響應(yīng)中心監(jiān)測發(fā)現(xiàn)近百起黨政機關(guān)網(wǎng)站被植入色情廣告頁面，分析發(fā)現(xiàn)被植入色情廣告頁面的網(wǎng)站都使用了KindEditor編輯器組件。

本次安全事件主要由upload_json.*上傳功能文件允許被直接調(diào)用從而實現(xiàn)上傳htm，html，txt等文件到服務(wù)器，在實際已監(jiān)測到的安全事件案例中，上傳的htm，html文件中存在包含跳轉(zhuǎn)到違法色情網(wǎng)站的代碼，攻擊者主要針對黨政機關(guān)網(wǎng)站實施批量上傳，建議使用該組件的網(wǎng)站系統(tǒng)盡快做好安全加固配置，防止被惡意攻擊。

根據(jù)對GitHub代碼版本測試，<= 4.1.11的版本上都存在上傳漏洞，即默認(rèn)有upload_json.*文件保留，但在4.1.12版本中該文件已經(jīng)改名處理了，改成了upload_json.*.txt和file_manager_json.*.txt，從而再調(diào)用該文件上傳時將提示不成功。

本次漏洞級別為高危，目前針對該漏洞的攻擊活動正變得活躍，建議盡快做好安全加固配置。

安全運營方面建議：直接刪除upload_json.*和file_manager_json.*即可。

安全開發(fā)生命周期（SDL）建議：KindEditor編輯器早在2017年就已被披露該漏洞詳情，建議網(wǎng)站建設(shè)單位經(jīng)常關(guān)注其系統(tǒng)使用的框架、依賴庫、編輯器等組件的官方安全更新公告。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。