关于PHPCMS 2008存在代码注入高危漏洞的预警

举报
华为云客户服务中心 发表于 2018/11/30 14:19:57 2018/11/30
【摘要】 关于PHPCMS 2008存在代码注入高危漏洞的预警

一、概要

近日,国内爆出PHPCMS 2008存在代码注入漏洞。漏洞源于PHPCMS 2008源码中的/type.php文件,导致攻击者可向网站上路径可控的缓存文件写入任意内容,进而可在目标网站上植入后门并执行任意命令。目前,漏洞利用原理已公开,厂商已发布新版本修复此漏洞,建议涉及的用户尽快完成漏洞修复。

PHPCMS网站内容管理系统是国内主流CMS系统之一,同时也是一个开源的PHP开发框架,由于稳定、灵活、开源的特性,时至今日,PHPCMS2008版本仍被许多网站所使用。

利用漏洞: CVE-2018-19127

参考链接:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-19127

二、漏洞级别

漏洞级别:【严重】

(说明:漏洞级别共四级:一般、重要、严重、紧急。)

三、影响范围

漏洞影响PHPCMS2008 sp4及以下版本。

四、安全建议

目前,厂商已发布了新版本修复此漏洞(2008以上版本,包括PHPCMS 9.6.0等),请及时更新。

1、升级最新版本,更新链接: http://www.phpcms.cn/v9/

2、临时解决方案

在/type.php文件中对$template变量进行过滤,避免用户输入的含有"("、"{"等符号的内容混入,并被当做路径和脚本内容处理。

注意:修复漏洞前请将资料备份,并进行充分测试。

 

【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。