KindEditor是一套开源的HTML可视化编辑器，主要用于让用户在网站上获得所见即所得编辑效果，兼容IE、Firefox、Chrome、Safari、Opera等主流浏览器。

KindEditor使用JavaScript编写，可以无缝的于Java、.NET、PHP、ASP等程序接合。 KindEditor非常适合在CMS、商城、论坛、博客、Wiki、电子邮件等互联网应用上使用，2006年7月首次发布2.0以来，KindEditor依靠出色的用户体验和领先的技术不断扩大编辑器市场占有率，目前在国内已经成为最受欢迎的编辑器之一。

​2019年2月份，安全监测平台和应急响应中心监测发现近百起党政机关网站被植入广告页面，分析发现被植入广告页面的网站都使用了KindEditor编辑器组件。本次安全事件主要由upload_json.*上传功能文件允许被直接调用从而实现上传htm,html,txt等文件到服务器，在实际已监测到的安全事件案例中，上传的htm,html文件中存在包含跳转到违法网站的代码，攻击者主要针对党政机关网站实施批量上传，建议使用该组件的网站系统尽快做好安全加固配置，防止被恶意攻击。

​事实上，早在2017年GitHub上已有报告了KindEditor编辑器存在文件上传漏洞的分析，可参考：https://github.com/kindsoft/kindeditor/issues/249。

​漏洞存在于小于等于kindeditor4.1.5 编辑器里，你能上传.txt和 .html文件，支持php/asp/jsp/asp.net。 /php/upload_json.php文件不会清理用户输入或者检查用户是否将任意文件上传到系统。通过构造一个恶意的 html文件来实现跳转，钓鱼等，恶意攻击者可实现。

​影响版本如下：

​kindeditor版本