一、漏洞分析

（一）组件介绍

    kkFileView是基于SpringBoot开发的一款开源文档在线预览项目，支持主流文档格式预览。

（二）漏洞描述

    2024年4月17日，深瞳漏洞实验室监测到一则kkFileView组件存在任意文件上传漏洞的信息，漏洞威胁等级：高危。

  该漏洞是由于kkFileView组件v4.2.0及以上版本中解压缩功能存在缺陷导致，攻击者可利用该漏洞在未授权的情况下，通过演示页面上传恶意构造的压缩包，可以实现覆盖系统文件，最终获取服务器权限。

二、影响范围

目前受影响的kkFileView版本：4.2.0≤kkFileView≤v4.4.0-beta

三、解决方案

（一）官方修复建议

  当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：https://github.com/kekingcn/kkFileView