网络安全

Network Security

当前位置: 首页 > 网络安全 > 网络安全预警信息 > 正文

关于kkFileView文件上传代码执行漏洞的安全预警

日期:2024-05-16阅读:

一、 基本情况

kkFileView是使用spring boot搭建的文档在线预览解决方案,能够支持多种主流办公文档的在线预览,如doc、docx、xls、xlsx、ppt、pptx、pdf、txt、zip、rar等格式。此外,它还可以预览图片、视频、音频等多种类型的文件。


二、 漏洞描述

kkFileView受影响版中的文件上传功能在处理压缩包时存在安全问题,威胁者可上传包含恶意代码的zip压缩包,覆盖系统文件,并可通过调用被覆盖的文件实现远程代码执行。

三、 影响范围

v4.2.0 <= kkFileView <= v4.4.0-beta


四、 修复建议

目前官方暂未发布正式修复版本,但已在开发分支中修复,受影响用户可在修复版本可用时升级到修复版本。

下载链接:

https://github.com/kekingcn/kkFileView/releases

五、 参考链接

https://github.com/kekingcn/kkFileView/commit/421a2760d58ccaba4426b5e104938ca06cc49778

https://github.com/kekingcn/kkFileView/issues/553


我是盾盾