雷鋒網(wǎng)2月21日消息，近日，安恒明鑒網(wǎng)站安全監(jiān)測(cè)平臺(tái)和應(yīng)急響應(yīng)中心監(jiān)測(cè)發(fā)現(xiàn)近百起黨政機(jī)關(guān)網(wǎng)站被植入色情廣告頁面，分析發(fā)現(xiàn)被植入色情廣告頁面的網(wǎng)站都使用了KindEditor編輯器組件。

本次安全事件主要由upload_json.*上傳功能文件允許被直接調(diào)用從而實(shí)現(xiàn)上傳htm，html，txt等文件到服務(wù)器，在實(shí)際已監(jiān)測(cè)到的安全事件案例中，上傳的htm，html文件中存在包含跳轉(zhuǎn)到違法色情網(wǎng)站的代碼，攻擊者主要針對(duì)黨政機(jī)關(guān)網(wǎng)站實(shí)施批量上傳，建議使用該組件的網(wǎng)站系統(tǒng)盡快做好安全加固配置，防止被惡意攻擊。

根據(jù)對(duì)GitHub代碼版本測(cè)試，<= 4.1.11的版本上都存在上傳漏洞，即默認(rèn)有upload_json.*文件保留，但在4.1.12版本中該文件已經(jīng)改名處理了，改成了upload_json.*.txt和file_manager_json.*.txt，從而再調(diào)用該文件上傳時(shí)將提示不成功。

本次漏洞級(jí)別為高危，目前針對(duì)該漏洞的攻擊活動(dòng)正變得活躍，建議盡快做好安全加固配置。

安全運(yùn)營方面建議：直接刪除upload_json.*和file_manager_json.*即可。

安全開發(fā)生命周期（SDL）建議：KindEditor編輯器早在2017年就已被披露該漏洞詳情，建議網(wǎng)站建設(shè)單位經(jīng)常關(guān)注其系統(tǒng)使用的框架、依賴庫、編輯器等組件的官方安全更新公告。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。