§ ITPOW >> 文档 >> 专题档案

作者：vkvi 来源：ITPOW（原创） 日期：2010-6-8

ezj 当前最新版本是 v2.0.1，集成了 KindEditor。

KindEditor 中含有图片上传代码，其上传的图片位于 ext/kindeditor/attached/，其中的上传功能没有被限制，即只要使用 KindEditor 的人，均有权限上传图片。并且其中含有上传图片的演示文件。

解决方案有两种

• 法一是删除演示文件，修改上传功能的权限。
• 法二是删除 ext/kindeditor/ 下的 asp、asp.net、jsp、php 文件夹,这样就删除了上传功能和演示文件。另外自写上传代码（比如 EZA），并利用 ezj.Editor 将上传的图片插入到 KindEditor 编辑器中。

针对 IT 网站的说明

只要上传了 ezj，即使没有使用 ezj.ext.editor，也可能受到影响。

当前许多 IT 网站都提供有 JavaScript 代码演示（包括ITPOW），具有一个文本区域、一个“运行代码”按钮，单击按钮后，就会运行文本区域中的代码。

攻击者可以利用 Firefox 或 Chrome 浏览器，更改文本区域的代码，以引用 ezj.ext.editor，这样运行代码后就会出现一个含有上传图片的 KindEditor 编辑器。

也应按上述的法一或法二来解决。

ezj 官方网站

http://www.itpow.com/products/ezj/