• 漏洞编号：暂无
• 漏洞类型：代码执行
• 漏洞等级：严重
• 发布时间：2024-04-19

漏洞描述

近日，赛克艾威网络安全实验室监测到kkFileView远程代码执行漏洞情报。在v4.2.0版本的更新中，由于前台上传功能在处理压缩包时，从仅获取文件名改为获取文件名及其目录，导致出现了Zip Slip漏洞。这使得攻击者可上传包含恶意代码的压缩包并覆盖系统文件，随后通过调用这些被覆盖的文件实现远程代码执行。

漏洞危害

攻击者可利用该漏洞上传恶意压缩包并覆盖文件，随后可利用被覆盖的文件执行任意代码来获取系统权限。

影响版本

4.2.0 <= kkFileView <= v4.4.0-beta

修复建议

1. 建议开启 file.upload.disable=true 参数，禁用首页的文件上传功能，关闭演示入口来规避问题。
2. 如非必要，不要将该系统放置在公网上。或通过网络ACL策略限制访问来源，例如只允许来自特定IP地址或地址段的访问请求。