【漏洞对象】kindeditor编辑器 【涉及版本】4.1.10 file_manager_json.php 【漏洞描述】 KindEditor 是一套开源的在线HTML编辑器，主要用于让用户在网站上获得所见即所得编辑效果，开发人员可以用 KindEditor 把传统的多行文本输入框(textarea)替换为可视化的富文本输入框。在版本4.1.10存在目录遍历漏洞，在file_manager_json.php页面的path参数没有进行安全过滤，一旦攻击者输入系统绝对路径，就可以读取任意目录，首先目录遍历。

1.对文件后缀进行白名单控制，对包含了恶意的符号或者空字节进行过滤。 2.及时进行软件版本更新。网址：<a href="http://kindeditor.net/down.php" rel="nofollow">http://kindeditor.net/down.php</a