一、漏洞详情
kkFileView是使用spring boot搭建的文件文档在线预览解决方案。
近日,监测到kkFileView发布新版本修复了kkFileView远程代码执行漏洞。kkFileView的文件上传功能存在zip路径穿越问题,导致攻击者可以通过上传恶意构造的zip包覆盖任意文件,并通过调用Libreoffice执行任意python代码。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
4.2.0 <= kkFileView <= 4.4.0-beta
三、修复建议
用户可以通过从官方GitHub页面下载开发分支的最新代码来临时解决此问题。建议持续关注官方的版本更新通知,以便及时获得修复后的正式版本。