关于PHPCMS 2008存在代码注入高危漏洞的预警
【摘要】 关于PHPCMS 2008存在代码注入高危漏洞的预警
一、概要
近日,国内爆出PHPCMS 2008存在代码注入漏洞。漏洞源于PHPCMS 2008源码中的/type.php文件,导致攻击者可向网站上路径可控的缓存文件写入任意内容,进而可在目标网站上植入后门并执行任意命令。目前,漏洞利用原理已公开,厂商已发布新版本修复此漏洞,建议涉及的用户尽快完成漏洞修复。
PHPCMS网站内容管理系统是国内主流CMS系统之一,同时也是一个开源的PHP开发框架,由于稳定、灵活、开源的特性,时至今日,PHPCMS2008版本仍被许多网站所使用。
利用漏洞: CVE-2018-19127
参考链接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-19127
二、漏洞级别
漏洞级别:【严重】
(说明:漏洞级别共四级:一般、重要、严重、紧急。)
三、影响范围
漏洞影响PHPCMS2008 sp4及以下版本。
四、安全建议
目前,厂商已发布了新版本修复此漏洞(2008以上版本,包括PHPCMS 9.6.0等),请及时更新。
1、升级最新版本,更新链接: http://www.phpcms.cn/v9/
2、临时解决方案
在/type.php文件中对$template变量进行过滤,避免用户输入的含有"("、"{"等符号的内容混入,并被当做路径和脚本内容处理。
注意:修复漏洞前请将资料备份,并进行充分测试。
【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)