一、漏洞分析
(一)组件介绍
kkFileView是基于SpringBoot开发的一款开源文档在线预览项目,支持主流文档格式预览。
(二)漏洞描述
2024年4月17日,深瞳漏洞实验室监测到一则kkFileView组件存在任意文件上传漏洞的信息,漏洞威胁等级:高危。
该漏洞是由于kkFileView组件v4.2.0及以上版本中解压缩功能存在缺陷导致,攻击者可利用该漏洞在未授权的情况下,通过演示页面上传恶意构造的压缩包,可以实现覆盖系统文件,最终获取服务器权限。
二、影响范围
目前受影响的kkFileView版本:4.2.0≤kkFileView≤v4.4.0-beta
三、解决方案
(一)官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:https://github.com/kekingcn/kkFileView