0x00 漏洞编号

• 暂无

0x01 危险等级

• 高危
  

0x02 漏洞概述

kkFileView是使用spring boot搭建的文件文档在线预览解决方案，支持主流办公文档的在线预览。

0x03 漏洞详情

漏洞类型：文件上传

影响：远程代码执行

简述：kkFileView 4.2.0到4.4.0-beta版本中文件上传功能存在zip路径穿越问题，其预览功能中会调用Libreoffice将odt文件转换为pdf，过程中会调用uno.py，攻击者可通过构造恶意zip包覆盖uno.py文件可执行任意python代码。

0x04 影响版本

• 4.2.0 <= kkFileView <= 4.4.0-beta

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://kkview.cn/

原文始发于微信公众号（浅安安全）：漏洞预警 | kkFileView任意文件上传漏洞