漏洞概述 kkFileView为文件文档在线预览解决方案,该项目使用流行的spring boot搭建,易上手和部署,基本支持主流办公文档的在线预览。 近期,网宿安全演武实验室监测到kkFileView存在远程代码执行漏洞(网宿评分:危急,CVSS3.1评分:9.8):远程攻击者无需身份认证,即可利用该漏洞覆盖任意⽂件,再调用被覆盖的文件实现远程代码...
kkFileview v4.1.0存在SSRF漏洞,攻击者可以利用此漏洞造成服务器端请求伪造(SSRF),远程攻击者可以通过将任意url注入url参数来强制应用程序发出任意请求。 漏洞影响 kkFileview =v4.1.0 漏洞证明 http://121.40.238.48:8012//getCorsFile?urlPath=aHR0cDovL2QyYjY0NWQ3LmRucy5kbnNtYXAub3Jn 0x03 kkFileView X...
kkFileViewv4.2.0至v4.4.0-beta版本之间存在安全漏洞,该漏洞源于组件CompressFilePreviewImpl#filePreviewHandle存在zipslip漏洞,允许攻击者通过将精心制作的zip压缩包来覆盖任意文件,进而造成RCE危害。 0x02 漏洞概述 kkFileViewv4.2.0至v4.4.0-beta版本之间存在安全漏洞,该漏洞源于组件CompressFilePreviewImpl#filePrevi...
id:kkfileviewreadfileinfo:name:kkfileview任意文件读取author:someoneseverity:criticaldescription:kkfileview任意文件读取,未经身份认证的攻击者可通过该漏洞获取数据库敏感信息及凭证,最终可能导致服务器失陷。reference:metadata:verified:truemax-request:1fofa-query:FOFA:app="kkfileview"tags:sqlirequests:-raw:-|GE...
漏洞概述 kkFileView为文件文档在线预览解决方案,该项目使用流行的spring boot搭建,易上手和部署,基本支持主流办公文档的在线预览。 近期,网宿安全演武实验室监测到kkFileView存在远程代码执行漏洞(网宿评分:危急,CVSS3.1评分:9.8):远程攻击者无需身份认证,即可利用该漏洞覆盖任意⽂件,再调用被覆盖的文件实现远程代码...
kkFileView远程代码执行漏洞分析如下:一、漏洞概述 kkFileView是一款基于spring boot开发的文件文档在线预览解决方案,近期被发现存在远程代码执行漏洞。 此漏洞评分极高,无需身份认证即可覆盖任意文件,实现远程代码执行。二、受影响版本 受影响版本为4.2.0至4.4.0beta之间的所有版本。三、漏洞成因 与...
2024年4月17日,网上更新披露了一个kkFileView 4.2.0-4.4.0 任意文件上传导致远程执行漏洞,kkFileView是使用spring boot搭建的文件文档在线预览解决方案,支持主流办公文档的在线预览,请各位用户尽快安装漏洞补丁。 漏洞风险:kkFileView 4.2.0 到4.4.0-beta版本中文件上传功能存在zip路径穿越问题,导致攻击者可以通过上...
漏洞概述 kkFileView为文件文档在线预览解决方案,该项目使用流行的spring boot搭建,易上手和部署,基本支持主流办公文档的在线预览。 近期,网宿安全演武实验室监测到kkFileView存在远程代码执行漏洞(网宿评分:危急,CVSS3.1评分:9.8):远程攻击者无需身份认证,即可利用该漏洞覆盖任意⽂件,再调用被覆盖的文件实现远程代码...
kkfileview 任意命令执行漏洞 kkFileView 为文件文档在线预览解决方案,该项目使用流行的spring boot搭建,易上手和部署,基本支持主流办公文档的在线预览,如doc,docx,xls,xlsx,ppt,pptx,pdf,txt,zip,rar,图片,视频,音频等等。 指纹信息 title="kkfileview" ...
kkFileView onlinePreview 文件读取漏洞 0x01简介 kkFileView 是一个基于 Java 开发的开源文件在线预览项目,旨在为开发者提供一个方便的、无需开发复杂前端代码就能实现文件在线预览的解决方案。其支持预览多种类型的文件,例如 Office 文档、PDF、文本文件以及图片等。 0x02漏洞概述 在src/main/java/cn/keking/web/...