长亭百川云 - 文章详情

【已复现】kkFileView任意文件上传致远程代码执行漏洞

长亭安全应急响应中心

79

2024-07-13

kkFileView是一个开源的在线文件预览解决方案,支持多种文件格式。

2024年4月,互联网上披露kkFileView远程代码执行漏洞情报,攻击者可利用该漏洞上传恶意文件,获取操作系统权限。该漏洞利用简单,建议受影响的客户尽快修复漏洞。

漏洞描述

 Description 

0****1

漏洞成因

在v4.2.0版本的更新中,由于前台上传功能在处理压缩包时,从仅获取文件名改为获取文件名及其目录,导致出现了Zip Slip漏洞。这使得攻击者可上传包含恶意代码的压缩包并覆盖系统文件,随后通过调用这些被覆盖的文件实现远程代码执行。

漏洞影响

这一漏洞的成功利用将会导致严重的安全后果。攻击者通过上传特制的ZIP文件,可以执行服务器上的任意代码,从而获得服务器的进一步控制权。最严重的情况下,这可能导致服务器的完全接管,敏感数据泄露,甚至将服务器转化为发起其他攻击的跳板。

影响版本

 Affected Version 

0****2

已知影响版本:4.2.0 <= kkFileView <= v4.4.0-beta

目前官方暂未发布正式修复版本,但已在开发分支中修复,预计下个正式版本会合并修复代码,建议使用POC自查或版本自查

解决方案

 Solution 

03

临时缓解方案

1. 建议开启 file.upload.disable=true 参数,禁用首页的文件上传功能,关闭演示入口来规避问题。

2. 如非必要,不要将该系统放置在公网上。或通过网络ACL策略限制访问来源,例如只允许来自特定IP地址或地址段的访问请求。

升级修复方案

该问题已在项目的开发分支中得到修复,但尚未在官方发布版本中更新。用户可以通过从官方GitHub页面下载开发分支的最新代码来临时解决此问题,等待修复被包含在即将发布的正式版本中。建议持续关注官方的版本更新通知,以便及时获得修复。

漏洞复现

 Reproduction 

04

产品支持

 Support

05

云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测。

洞鉴:将由新的引擎版本支持该漏洞的原理检测,将于2024.4.18前发布。

雷池:预期4月17日17时前发布虚拟补丁,支持检测该漏洞的利用行为。

全悉:默认支持检测该漏洞的利用行为。

时间线

 Timeline 

06

4月16月 长亭科技监测到漏洞情报

4月17日 官方修复漏洞

4月17日 长亭安全应急响应中心发布通告

参考资料:

[1].https://github.com/kekingcn/kkFileView

[2].https://github.com/kekingcn/kkFileView/commit/421a2760d58ccaba4426b5e104938ca06cc49778

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否收到此次漏洞影响

请联系长亭应急团队

7*24小时,守护您的安全

第一时间找到我们:

邮箱:support@chaitin.com

应急响应热线:4000-327-707

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2