【漏洞详情】

KindEditor编辑器组件，由于upload_json.*上传功能，存在允许被直接调用，从而实现上传htm,html,txt等文件到服务器的漏洞。已有不少网站中招，被植入色情赌博等链接，造成较恶劣的社会影响。

【漏洞等级】

紧急

【应用场景】

KindEditor可用于上传doc,docx,xls,xlsx,ppt,htm,html,txt,zip,rar,gz,bz2,wps,pdf格式文件。支持Java、.NET、PHP、ASP等程序。

【影响版本】

Kindeditor<= 4.1.1

【修复建议】

1.如业务不需要上传功能，可以删除掉upload_json.*文件；

2.如果业务需要，请做好安全措施，如：

（1）对该上传功能进行权限设置，不允许未注册人员访问；

（2）对文件的上传格式进行限制，去掉html,htm的上传权限，只允许上传图片格式以及word文本。