一、漏洞详情

kkFileView是使用spring boot搭建的文件文档在线预览解决方案。

近日，监测到kkFileView发布新版本修复了kkFileView远程代码执行漏洞。kkFileView的文件上传功能存在zip路径穿越问题，导致攻击者可以通过上传恶意构造的zip包覆盖任意文件，并通过调用Libreoffice执行任意python代码。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

4.2.0 <= kkFileView <= 4.4.0-beta

三、修复建议

用户可以通过从官方GitHub页面下载开发分支的最新代码来临时解决此问题。建议持续关注官方的版本更新通知，以便及时获得修复后的正式版本。