严重 kkFileView 任意文件上传致远程代码执行漏洞

CVE编号

N/A

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2024-04-17
漏洞描述
kkFileView是一个开源在线文件预览解决方案。2024年4月,互联网公开披露kkFileView 任意文件上传致远程代码执行漏洞,攻击者可构造恶意请求上传恶意文件,并可能造成远程代码执行。

影响版本
4.2.0 <= kkFileView <= 4.4.0-beta

安全版本
官方已于正式分支中修复,待发布正式版本。
解决建议
1、待官方发布后升级至安全版本
2、利用安全组设置其仅对可信地址开放。
参考链接
https://github.com/kekingcn/kkFileView/commit/421a2760d58ccaba4426b5e104938ca...
阿里云评分
9.5
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    POC 已公开
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    传输被破坏
  • 服务器危害
    服务器失陷
  • 全网数量
    N/A
CWE-ID 漏洞类型
阿里云安全产品覆盖情况