KindEditor上传解析漏洞
影响版本：<= kindeditor 3.2.1(09年8月份发布的最新版)
漏洞利用：利用windows 2003 IIS解析漏洞拿WEBSHELL 
KindEditor列目录漏洞
测试版本：KindEditor 3.4.2    KindEditor 3.5.51.1.
http://netknight.in/67cms/kindeditor/php/file_manager_json.php?path=/  
 2. //path=/，爆出绝对路径D:AppServwww67cmskindeditorphpfile_manager_json.php
 3. 2.http://**/67cms/kindeditor/php/file_manager_json.php?path=AppServ/www/67cms/  
 4. //根据爆出的绝对路径，修改path的值为AppServ/www/67cms/  
 5. 这时将遍历d:/AppServ/www/67cms/下的所有文件和文件名 
上传修改拿shell漏洞影响版本：
KindEditor 3.5.2~4.1
漏洞利用：
 打开编辑器，将一句话改名为1.jpg   上传图片，
 打开文件管理，进入“down”目录，跳至尾页，最后一个图片既是我们上传的一句话后门代码，然后利用这个后门，基本上可以为所欲为啦。

有很多的客户使用的是某网（不点名了，影响不好。这也是我公司为什么后台双选择多个服务器服务商的原因）的服务器，而且是虚拟主机。正巧某网对这个维护的不是很到位，经常导致网站被挂黑连，即使你的网站做的很安全，外连专家也可以通过别的网站给你挂上大量的垃圾文章。

作为网站建设人员，我们应该对所使用的文本编辑器有个较好的认识，闲时经常在网上找找这个编辑器的漏洞，虽然多数程序还只是拿来使用的水平，但不排除网络上有提供相应的解决方案。最好也是最快的办法，就是即时使用该编辑器的最新版本，并及时更新补丁（如果有）。

济南国尚网络技术有限公司技术有限公司，是以济南网站建设，网站优化为主营业务的一家济南网络公司，立志于给客户制作一个干净漂亮而又足够安全的网站，交付客户一个高水准的互联网商务环境。欢迎来电洽谈：0531-88017386。