Ueditor上传方法漏洞

[scwz2131]

作者您好，
关于Ueditor最近有抛出针对于asp.net版本的上传漏洞，即可以上传一些带木马类型的文件。
https://www.sohu.com/a/250857427_100192631
我也查到下面一篇文章有所提及
https://www.cnblogs.com/hnsongbiao/p/5519332.html
也查看了一下您的Ueditor上传方法是和文章里一样的。想请教一下，不知道作者是否可以针对这个上传漏洞做相应的修改，对文件上传格式做一下校验修改，望回复，谢谢！

[baiyunchen]

感谢反馈，会及时处理！

[scwz2131]

作者您好，
请问这个issue处理完毕了吗？

[baiyunchen]

@scwz2131 正在处理中。
另外，我与很多同行探讨了这个问题，大家普遍认为，对于该问题，最重要的是文件夹权限的设置，永远不要执行用户上传上来的文件，通过程序只能尽可能的拦截，但是永远都会有漏洞。

目前我能做的是通过二进制文件头，检查文件的真实类型，检查完成并判断是否为配置中允许的类型。但这样配置仍然不安全，漏洞如下：

• 文件头可以伪造，和第一篇文章中所述的伪造文件类型基本一样简单
• JPG文件本身可以打包进去病毒程序，除非不允许上传JPG这类文件，否则都挡不住黑客

所以，结合我跟其他大神讨论的结果,建议先从以下方面入手：

• 永远不要执行用户上传的文件，把文件夹权限设置为只读
• 上传文件的文件夹不要放置到网站Host的目录下，配置到网站Host的目录之外
• 禁用UEditor从第三方服务器采集图片的功能

[scwz2131]

作者您好
我之前其实做过第一点，禁止上传文件夹的脚本执行权限，
参考文档 https://www.cnblogs.com/xiaozi/p/5443084.html
我从IIS站点上选择图片上传的upload文件夹，然后点击右边的处理程序映射，然后选择右边的编辑功能权限，取消脚本的勾选，
结果造成一个问题，就是富文本编辑器上传单图后，图片显示不出来。最后只能恢复回去，不知道作者可不可以解惑。
关于您提到的第三点，禁用UEditor从第三方服务器采集图片的功能，我不太明白意思，不知道有没有相关网页可以给我看看。感谢。

[baiyunchen]

关于禁用UEditor从第三方服务器采集图片的功能：
UEditor中，不符合catcherLocalDomain中配置的域名的图片在复制时，都会被自动抓取为本地图片，可以通过在前端使用UE.plugins['catchremoteimage'] = null 停用该功能，我可以后续提供配置来禁用CrawlerHandler，目前暂时没办法彻底关闭改功能。

最近刚忙完，其他的部分会在最近处理完成