kkFileview存在任意文件读取漏洞

最新推荐文章于 2025-06-26 15:03:46 发布
原创 最新推荐文章于 2025-06-26 15:03:46 发布 · 9k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #网络

文章目录

kkFileview存在任意文件读取漏洞

1. kkFileview简介

微信公众号搜索:南风漏洞复现文库
该文章 南风漏洞复现文库 公众号首发

kkFileView,一款成熟且开源的文件文档在线预览项目解决方案。kkFileView为文件文档在线预览解决方案,该项目使用流行的spring boot搭建,易上手和部署,基本支持主流办公文档的在线预览,如doc,docx,xls,xlsx,ppt,pptx,pdf,txt,zip,rar,图片,视频,音频等等

2.漏洞描述

Keking KkFileview是中国凯京科技(Keking)公司的一个 Spring-Boot 打造文件文档在线预览项目。
Keking kkFileview 存在安全漏洞,该漏洞源于存在通过目录遍历漏洞读取任意文件,可能导致相关主机上的敏感文件泄漏。

3.影响版本

4.fofa 查询语句

body=“kkFileView”

5.漏洞复现

漏洞数据包如下,因为浏览器编码的原因,直接访问链接不会触发漏洞,需要以数据包的形式访问:

http://127.0.0.1/getCorsFile?urlPath=file:///etc/passwd

kkFileview存在任意文件读取漏洞

kkFileview存在任意文件读取漏洞

6.POC&EXP

关注公众号 南风漏洞复现文库 并回复 漏洞复现24 即可获得该 POC 工具下载地址:

本次的 poc 加入了代理功能,方便各位师傅调试。

kkFileview存在任意文件读取漏洞

7.整改意见

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/kekingcn/kkFileView/issues/304

8.往期回顾

kkFileView文档管理系统任意文件读取
weixin_43567873的博客
03-26 617
kkFileView文档管理系统任意文件读取
kkFileView 任意文件上传致远程代码执行漏洞复现(QVD-2024-14703)
0xSec
04-21 3643
2024年4月,互联网上披露kkFileView远程代码执行漏洞情报,攻击者可利用该漏洞上传恶意文件,获取操作系统权限。该漏洞利用简单,建议受影响的客户尽快修复漏洞
kkFileView漏洞总结
Websec
03-18 4585
Keking kkFileview 存在安全漏洞,该漏洞源于存在通过目录遍历漏洞读取任意文件,可能导致相关主机上的敏感文件泄漏。kkFileview v4.1.0存在SSRF漏洞,攻击者可以利用此漏洞造成服务器端请求伪造(SSRF),远程攻击者可以通过将任意url注入url参数来强制应用程序发出任意请求,从而获取内网机器的数据。3、kkFileview的onlinePreview接口也存在SSRF漏洞,但是利用条件上稍微有点区别,这个接口限制了后缀只能为一些常见的文本类型。
kkFileView:构建高效文件在线预览服务的全面指南
随便写写
06-05 1409
kkFileView是一款基于Spring Boot构建的文件文档在线预览解决方案,在GitHub上已获得9.9k+ Star,被公认为文件预览领域的优秀开源项目。该项目设计初衷是为各类应用系统提供简单易用、功能强大的文件预览能力,无需用户安装任何插件或专业软件。核心特性广泛的文件格式支持:基本覆盖主流办公文档格式如doc、docx、xls、xlsx、ppt、pptx、pdf、txt等,同时支持图片、视频、音频以及压缩包(zip、rar)等多种文件类型的预览简便的部署方式。
网络安全-kkFileViews任意文件读取漏洞原理解析
weixin_39445116的博客
02-04 4900
在学习的过程中,了解到kkFileView存在任意文件读取、SSRF、文件上传漏洞。为了更深刻的理解其原理,我从git拉取了项目,由于该漏洞在最新版本已经修复,所以这只是历史版本中存在的。写这篇文章来提醒自己代码中容易出问题的地方。
kkFileView getCorsFile 任意文件读取漏洞(CVE-2021-43734)
weixin_44304678的博客
11-09 3563
Keking KkFileview是中国凯京科技(Keking)公司的一个 Spring-Boot 打造文件文档在线预览项目。Keking kkFileview 存在安全漏洞,该漏洞源于存在通过目录遍历漏洞读取任意文件
kkFileview漏洞总结
qq_61475980的博客
07-22 3568
项目介绍Keking KkFileview是中国凯京科技(Keking)公司的一个以Spring Boot打造文件文档在线预览项目。
kkFileView漏洞总结】
优快云Romance的博客
12-18 1748
Keking KkFileview是中国凯京科技(Keking)公司的一个 Spring-Boot 打造文件文档在线预览项目。
Check Point安全网关存在任意文件读取漏洞
weixin_43167326的博客
05-31 595
Check Point 安全网关是一种功能强大、可扩展的安全解决方案,旨在保护企业网络免受各种网络威胁和攻击。它提供了多种安全功能,包括防火墙、虚拟专用网络(VPN)、入侵检测和预防系统(IDPS)、杂货邮件防护、网络地址转换(NAT)、负载均衡和安全信息和事件管理(SIEM)。这些功能使得Check Point 安全网关能够提供高性能、可扩展性和高度安全的保护,满足大型企业的需求。同时,Check Point 安全网关也提供了灵活的管理界面,易于配置和管理。
漏洞分析 | kkFileView远程代码执行漏洞
WangsuSecurity的博客
05-17 3816
网宿安全演武实验室监测到kkFileView存在远程代码执行漏洞(网宿评分:危急,CVSS3.1评分:9.8)
【已解决】kkFileView存在文件上传存储型XSS漏洞
weixin_44938223的博客
08-27 2313
通过以上操作,此问题完美解决,配置文件中其他配置的修改也可以影响到其他的功能,例如水印信息等,大家修改时一定要谨慎,如果有其他解决方案,欢迎大家在评论区进行讨论。
kkFileview任意文件读取漏洞复现
qq_44484541的博客
11-01 2705
kkFileView为文件文档在线预览解决方案,该项目使用流行的spring boot搭建,易上手和部署,基本支持主流办公文档的在线预览,如doc,docx,xls,xlsx,ppt,pptx,pdf,txt,zip,rar,图片,视频,音频等等。Keking kkFileview 存在安全漏洞,该漏洞源于存在通过目录遍历漏洞读取任意文件,可能导致相关主机上的敏感文件泄漏。Keking KkFileview是中国凯京科技(Keking)公司的一个 Spring-Boot 打造文件文档在线预览项目。
网络安全kkFileView XSS漏洞解析(本地调试全过程记录)
最新发布
weixin_39445116的博客
06-26 894
可以使用idea打开项目,我这里因为没安装,所以用spring tool suite,(如果maven依赖下载很慢,请在网上搜索改为国内源的资料)。支持html的查看,POC在HTML后面加上了JS代码,就有了XSS反射型的漏洞。日志显示预览了,但是没显示,看来只有审计一下代码了,网上给的复现手段不太行。导入之后,一直点,这个文件就是项目的启动文件,我先启动尝试复现漏洞。我得出一个结论,网上给出的复现漏洞,对于版本的判断是有误的!删除本地文件,再从gitee拉取, 我再回到3.6.0试试,
kkFileView远程代码执行漏洞分析
qq_18193739的博客
04-23 8773
使用…/…/ 即可导致任意文件内容覆盖转换pdf是启动了LibreOffile 并执行 C:\Users\26927\Downloads\kkFileView-4.2.1\server\libreoffice\program\uno.py 脚本中内容导致RCE。
2024版最新148款CTF工具整理大全(附下载安装包)含基础环境、Web 安全、加密解密、密码爆破、文件、隐写、逆向、PWN等全套工具
热门推荐
Libra1313的博客
10-23 1万+
经常会有大学生粉丝朋友私信大白,想通过打CTF比赛镀金,作为进入一线互联网大厂的门票。但是在CTF做题很多的时候都会用到工具,所以在全网苦寻CTF比赛工具安装包!
KKFileView v3.5.1文件预览服务漏洞修复
fengshi95的博客
05-23 1129
KKFileView演示首页,提供了文件上传的功能,可以上传任意文件
kkfileview文件上传安全漏洞原理分析及解决方案
chengpei147的博客
05-12 1131
预览文件时跳转到了其他地方,进入kkfileview容器内,发现里面被上传很多未知的html文件,kkfileview的页面被篡改。
【已复现】kkFileView任意文件上传致远程代码执行漏洞,从零基础到精通,收藏这篇就够了!
喜欢Python编程的程序员柚柚呀
03-11 1150
kkFileView是一个开源的在线文件预览解决方案,支持多种文件格式。2024年4月,互联网上披露kkFileView远程代码执行漏洞情报,攻击者可利用该漏洞上传恶意文件,获取操作系统权限。该漏洞利用简单,建议受影响的客户尽快修复漏洞。在v4.2.0版本的更新中,由于前台上传功能在处理压缩包时,从仅获取文件名改为获取文件名及其目录,导致出现了Zip Slip漏洞。这使得攻击者可上传包含恶意代码的压缩包并覆盖系统文件,随后通过调用这些被覆盖的文件实现远程代码执行。这一漏洞的成功利用将会导致严重的安全后果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sublime88

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值