服务热线: 0371-65995777
   
 
关于PHPCMS 2008存在代码注入高危漏洞的预警
文章来源 :大数据通信      发布时间 :2018/12/3 10:56:44
 

一、概要

近日,国内爆出PHPCMS 2008存在代码注入漏洞。漏洞源于PHPCMS 2008源码中的/type.php文件,导致攻击者可向网站上路径可控的缓存文件写入任意内容,进而可在目标网站上植入后门并执行任意命令。目前,漏洞利用原理已公开,厂商已发布新版本修复此漏洞,建议涉及的用户尽快完成漏洞修复。

PHPCMS网站内容管理系统是国内主流CMS系统之一,同时也是一个开源的PHP开发框架,由于稳定、灵活、开源的特性,时至今日,PHPCMS2008版本仍被许多网站所使用。

利用漏洞: CVE-2018-19127

参考链接:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-19127

二、漏洞级别

漏洞级别:【严重】

(说明:漏洞级别共四级:一般、重要、严重、紧急。)

三、影响范围

漏洞影响PHPCMS2008 sp4及以下版本。

四、安全建议

目前,厂商已发布了新版本修复此漏洞(2008以上版本,包括PHPCMS 9.6.0等),请及时更新。

1、升级最新版本,更新链接http://www.phpcms.cn/v9/

2、临时解决方案

/type.php文件中对$template变量进行过滤,避免用户输入的含有"(""{"等符号的内容混入,并被当做路径和脚本内容处理。

注意:修复漏洞前请将资料备份,并进行充分测试。