漏洞名称:
kkFileView 任意文件上传漏洞
漏洞描述:
该漏洞是由于 kkFileView
组件 v4.2.0 及以上版本中解压缩功能存在缺陷导致,攻击者可利用该漏洞在未
授权的情况下,通过演示页面上传恶意构造的压缩包,可以实现覆盖系统文件,
最终获取服务器权限。
漏洞编号:暂无
,漏洞威胁等级:
高危
。
组件介绍:
kkFileView 是基于 Spring Boot 开发的一款开源文档在线预览项目,
支持主流文档格式预览。
影响范围:
目前受影响的 kkFileView 版本:
4.2.0 ≤ kkFileView ≤ v4.4.0-beta
利用条件:
1、用户认证:否
2、前置条件:默认配置
3、触发方式:远程
〈综合评定利用难度〉容易,无需授权即可任意文件上传。
〈综合评定威胁等级〉高危,能造成远程代码执行。
官方解决方案
:
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链
接如下:https://github.com/kekingcn/kkFileView
