发布作者: 奥沐嘉
百度收录: 正在检测是否收录...
作品采用: 《 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 》许可协议授权
kkFileView 任意文件上传致远程代码执行漏洞
kkFileView 任意文件上传致远程代码执行漏洞
HVPR:96 CVSS:9 可用EXP:0 可用PoC:0
一、基础信息
厂 商:
来 源:
漏洞类型:输入验证错误
更新时间:2024-04-18 10:09:42
发布时间:2024-04-18 10:09:42
二、漏洞描述
kkFileView是一个开源在线文件预览解决方案。kkFileView 4.2.0 到4.4.0-beta版本中文件上传功能存在zip路径穿越问题,导致攻击者可以通过上传恶意构造的zip包,覆盖任意文件,并可能造成远程代码执行。
三、受影响产品或系统
4.2.0 <= kkFileView <= 4.4.0
四、解决方案
开启file.upload.disable=true参数,禁用首页的上传文件,关闭演示入口
五、补丁信息
暂无
六、参考信息
来源:kkFileView
链接:https://github.com/kekingcn/kkFileView/commit/421a2760d58ccaba4426b5e104938ca06cc49778
人生倒计时
热门文章
舔狗日记
—— 评论区 ——