近日，工作中发现本市多家重要单位使用的开源文件在线预览项目“kkFileView"存在任意文件上传漏洞。攻击者可以通过此漏洞将木马文件上传至系统后台，并利用上传的文件URL链接实施极具诱导性的钓鱼攻击，用户访问该链接就会下载存在木马的文件。经查，“kkFileView"是中国凯京科技(Keking)公司的开源文件在线预览解决方案，支持Office文档、PDF、文本文件、图片、音视频等
       多种格式的文件在线预览，无需用户下载文件即可在浏览器中查看文件内容。鉴于该漏洞影响范围较广，为确保我市教育系统信息系统和数据安全，抵御境内外黑客攻击，建议各单位高度重视，立即组织指导本部门、本地区开展以下工作:一是全面排査掌握本单位及下属单位"kkFileView“使用情况，督促指导受影响单位及时排査是否已被上传恶意文件，并及时修复漏洞，加固安全防护措施;二是可暂时禁用文件上传功能、仅允许上传安全格式的文件或设置访问白名单等方式，严格文件上传验证，避免未授权访问，防止攻击者利用该漏洞;三是密切关注中国凯京科技官方安全补丁公告，在确保安全的情况下，及时更新升级，堵塞漏洞，消除风险隐患;四是加强常态化安全监测，发生安全事件后应第一时间报告，并积极稳妥开展处置，同时做好证据留存。