2月21日消息，近日，安恒明鑒網站安全監測平臺和應急響應中心監測發現近百起黨政機關網站被植入色情廣告頁面，分析發現被植入色情廣告頁面的網站都使用了 KindEditor 編輯器組件。

本次安全事件主要由 upload_json.* 上傳功能文件允許被直接調用從而實現上傳 htm，html，txt 等文件到服務器，在實際已監測到的安全事件案例中，上傳的 htm，html 文件中存在包含跳轉到違法色情網站的代碼，攻擊者主要針對黨政機關網站實施批量上傳，建議使用該組件的網站系統盡快做好安全加固配置，防止被惡意攻擊。

根據對 GitHub 代碼版本測試，<= 4.1.11 的版本上都存在上傳漏洞，即默認有 upload_json.* 文件保留，但在 4.1.12 版本中該文件已經改名處理了，改成了 upload_json.*.txt 和 file_manager_json.*.txt，從而再調用該文件上傳時將提示不成功。

本次漏洞級別為高危，目前針對該漏洞的攻擊活動正變得活躍，建議盡快做好安全加固配置。

安全運營方面建議：直接刪除 upload_json.* 和 file_manager_json.* 即可。

安全開發生命周期(SDL)建議：KindEditor 編輯器早在2017年就已被披露該漏洞詳情，建議網站建設單位經常關注其系統使用的框架、依賴庫、編輯器等組件的官方安全更新公告。

來自：雷鋒網