一、 漏洞 CVE-2025-4538 基础信息
漏洞信息
                                        # kkFileView fileUpload 上传功能未限制.SizeType:WordPress插件CVE编号:N/ADescription:此漏洞允许未经认证的攻击者上传恶意脚本文件。Exploits:可利用该漏洞获取服务器控制权限。Detail:在 wp-content/plugins/kkfileview/include/post.php 文件中,第446行有如下代码:
if ( current_user_can( ‘manage_options’ ) && !defined(‘KKFILEVIEW’) )
{
KKFile::kk_upload($_FILES, $_POST);
}
如果没有定义 KKFILEVIEW 常量,则当前用户无需具备管理权限即可上传。攻击者利用此漏洞上传恶意脚本文件,可能导致进一步的安全问题。
Reference:1.https://www.exploit-db.com/exploits/40579/

## 概述
kkFileView 4.4.0 存在一个被评为关键级别的漏洞,攻击者可以利用该漏洞通过上传文件进行远程攻击。

## 影响版本
- kkFileView 4.4.0

## 细节
- **受影响组件**:未知部分的 `/fileUpload`
- **漏洞类型**:不受限制的文件上传
- **触发方式**:通过操纵 `File` 参数
- **攻击方式**:远程发起

## 影响
- 漏洞已被公开披露,攻击者可以利用该漏洞进行攻击。
- 厂商关于此披露没有作出任何回应。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
kkFileView fileUpload unrestricted upload
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was found in kkFileView 4.4.0. It has been classified as critical. This affects an unknown part of the file /fileUpload. The manipulation of the argument File leads to unrestricted upload. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
危险类型文件的不加限制上传
来源:美国国家漏洞数据库 NVD
漏洞标题
kkFileView 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
kkFileView是凯京科技(kekingcn)开源的一个基于 Spring-Boot 的通用文件在线预览项目。 kkFileView 4.4.0版本存在代码问题漏洞,该漏洞源于对文件/fileUpload中参数File的错误操作导致任意文件上传。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-4538 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-4538 的情报信息