【深信服-漏洞通告】

漏洞名称：kkFileView任意文件上传漏洞

【检测结果】

1、通过MSSP大数据平台分析近一个月服务资产访问行为数据，尚未发现受此组件版本影响的服务资产。

2、为确保无遗漏，建议业务运维进行二次核实，检查业务资产是否有使用相关组件的情况，如有可参考详细修复建议操作避免漏洞被恶意利用。

【漏洞详情】

该漏洞是由于kkFileView组件v4.2.0及以上版本中解压缩功能存在缺陷导致，攻击者可利用该漏洞在未授权的情况下，通过演示页面上传恶意构造的压缩包，可以实现覆盖系统文件，最终获取服务器权限。

受影响的kkFileView版本：

4.2.0 ≤ kkFileView ≤ v4.4.0-beta

官方解决方案：

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://github.com/kekingcn/kkFileView