jeecms 最近被爆出高危網站漏洞,可以導緻網站被上傳webshell木馬檔案,受影響的版本是jeecms V6.0版本到jeecmsV7.0版本。該網站系統采用的是JAVA語言開發,資料庫使用的是oracle,mysql,sql資料庫,伺服器系統支援windows2008,windows2012,以及linux centos系統。
我們來簡單的了解下什麼是jeecms系統,該系統主要是針對内容文章管理的一個系統,支援微信,以及公衆号,移動電腦端自适應的模闆系統,開發強大,安全,穩定,優化好,很多程式檔案夾做了詳細的安全權限配置設定,禁止直行java腳本檔案,jeecms可以全站生成靜态檔案html,可視化的前端外觀設計,豐富的第三方API接口,使得該系統深受廣大建站愛好者的喜歡。
jeecms 網站漏洞分析
jeecms漏洞發生的原因是在于網站的上傳功能,存在可以繞過安全攔截,直接将jsp格式的網站木馬檔案上傳到伺服器中去,由于該上傳元件含有遠端調用圖檔連結的功能,導緻調用的是并沒有做詳細的安全過濾,沒有限制遠端圖檔的格式,導緻可以将任意格式的檔案上傳到網站當中去。我們來看下代碼:
當我們使用遠端調用圖檔功能的時候,會使用前端的upfile函數去調用,然後經過separate的安全分隔符來進行确認檔案的格式,導緻沒有任何的安全驗證就可以上傳檔案,導緻網站漏洞的發生。
我們本地電腦搭建下環境,java+mysql環境,apache,使用官方下載下傳的V7版本,我們本地構造上傳的頁面代碼如下:
<form action="http://127.0.0.1:8080/ueditor/getRemoteImage.jspx" method="post"
enctype="multipart /form-data">
<input name="upfile" value="ue_separate_ue">
<input type="submit">
</form>
然後将我們遠端圖檔連結位址寫上,http://127.0.0.1:8080/webshell.jsp點送出直接繞過Jeecms的安全檢測系統,上傳成功,遠端圖檔抓取成功的提示,在上傳過程中會直接傳回檔案的位址路徑。
jeecms 網站漏洞修複與建議
目前通過搜尋查詢到使用jeecms的網站達到上萬個,使用該jeecms建站的網站營運者,請盡快更新網站系統到最新版V9版本,自己公司技術有限的,請将遠端上傳圖檔功能去掉,ueditor目錄下的getRemoteImage.jspx檔案删除掉,或者更名,如果自己對代碼不是太熟悉話,也可以找專業的網站安全公司處理。