ezj 当前最新版本是 v2.0.1,集成了 KindEditor。
KindEditor 中含有图片上传代码,其上传的图片位于 ext/kindeditor/attached/,其中的上传功能没有被限制,即只要使用 KindEditor 的人,均有权限上传图片。并且其中含有上传图片的演示文件。
解决方案有两种
针对 IT 网站的说明
只要上传了 ezj,即使没有使用 ezj.ext.editor,也可能受到影响。
当前许多 IT 网站都提供有 JavaScript 代码演示(包括ITPOW),具有一个文本区域、一个“运行代码”按钮,单击按钮后,就会运行文本区域中的代码。
攻击者可以利用 Firefox 或 Chrome 浏览器,更改文本区域的代码,以引用 ezj.ext.editor,这样运行代码后就会出现一个含有上传图片的 KindEditor 编辑器。
也应按上述的法一或法二来解决。
ezj 官方网站