kkFileView远程代码执行漏洞的预警

文章来源:智慧校园建设专题网站发布时间:2024-04-24浏览次数:224

一、漏洞详情

kkFileView是使用spring boot搭建的文件文档在线预览解决方案。

近日,监测到kkFileView发布新版本修复了kkFileView远程代码执行漏洞。kkFileView的文件上传功能存在zip路径穿越问题,导致攻击者可以通过上传恶意构造的zip包覆盖任意文件,并通过调用Libreoffice执行任意python代码。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

4.2.0 <= kkFileView <= 4.4.0-beta

三、修复建议

用户可以通过从官方GitHub页面下载开发分支的最新代码来临时解决此问题。建议持续关注官方的版本更新通知,以便及时获得修复后的正式版本。