360網(wǎng)站安全協(xié)助PHPCMS修復高危漏洞

　　5月22日消息，PHPCMS官網(wǎng)今天發(fā)布V9.3.3正式版及升級補丁，修復了由360網(wǎng)站安全“庫帶計劃”和WooYun報告的安全漏洞，并對360和WooYun提供信息反饋表示公開致謝。

　　PHPCMS是國內(nèi)知名的CMS建站系統(tǒng)PHPCMS批量刪除關(guān)鍵詞，擁有包括地方門戶、政府網(wǎng)站、教育網(wǎng)、企業(yè)官網(wǎng)等在內(nèi)的大量網(wǎng)站用戶。據(jù)360網(wǎng)站安全檢測平臺透露，360“庫帶計劃”近期收集到技術(shù)高手“合肥濱湖虎子”提交的PPHCMS V9寬字節(jié)注入漏洞，驗證后第一時間聯(lián)系了PHPCMS官方，同時發(fā)送告警郵件提醒360網(wǎng)站安全產(chǎn)品用戶，為廣大站長第一時間提供漏洞防護措施。

　　360網(wǎng)站安全協(xié)助PHPCMS修復高危漏洞

　　圖：PHPCMS官網(wǎng)發(fā)布的漏洞報告致謝

　　360網(wǎng)站安全工程師介紹說，此次PHPCMS漏洞影響的版本為 V9 gbk版本(PHP版本限于5.4.0以下)。黑客可利用該漏洞取得網(wǎng)站管理員權(quán)限，從而實現(xiàn)對網(wǎng)站的拖庫、掛馬、篡改等侵害。建議相關(guān)網(wǎng)站盡快更新PHPCMS官方發(fā)布的補丁，也可以加入360網(wǎng)站衛(wèi)士防護，就能避免漏洞被黑客攻擊利用。

　　據(jù)了解，360公司目前有兩款免費的網(wǎng)站安全產(chǎn)品，分別是360網(wǎng)站安全檢測(webscan.360.cn)和360網(wǎng)站衛(wèi)士(wangzhan.360.cn)。前者為網(wǎng)站提供免費安全體檢服務，后者為網(wǎng)站提供免費的安全防護和網(wǎng)站加速服務。

　　360“庫帶計劃”則是由360公司于今年3月底啟動的開源系統(tǒng)漏洞懸賞項目，目前已經(jīng)受到眾多安全技術(shù)高手的支持，從而協(xié)助ShopEx、Discuz!等十余個知名建站系統(tǒng)修復漏洞，保護百萬級網(wǎng)站降低了被黑客攻擊的風險。

　　PHPCMSV9任意文件讀取漏洞威脅網(wǎng)站安全

　　近日，烏云平臺曝出國內(nèi)知名網(wǎng)站內(nèi)容管理系統(tǒng)PHPCMS V9存在多個漏洞，其中以“任意文件讀取”漏洞危害最大，(地址：http://wooyun.org/bugs/wooyun-2010-09463 )PHPCMS批量添加欄目，攻擊者利用此漏洞可以盜取網(wǎng)站源代碼。據(jù)360網(wǎng)站安全檢測數(shù)據(jù)顯示PHPCMS批量刪除關(guān)鍵詞，全國約5萬家網(wǎng)站存在此漏洞，80%左右使用PHPCMS的網(wǎng)站受該漏洞影響。

　　360網(wǎng)站安全檢測平臺服務網(wǎng)址：http://webscan.360.cn

　　據(jù)了解，PHPCMS V9是國內(nèi)著名的PHP框架網(wǎng)站管理系統(tǒng)，被眾多的政府機構(gòu)、教育機構(gòu)、事業(yè)單位、商業(yè)企業(yè)以及個人站長所使用。經(jīng)360安全專家確認，此次導致此次漏洞的文件位于/phpcms/modules/search/index.php。

　　▲圖：開發(fā)者在編寫代碼時，對傳入?yún)?shù)未做任何處理造成漏洞

　　360網(wǎng)站安全檢測平臺分析認為，造成該高危漏洞的原因在于，地址獲取代碼對傳入的參數(shù)未做任何處理，“一旦攻擊者構(gòu)造一個偽裝的字符串，就可以讀取站點根目錄下的index.php文件內(nèi)容，進而讀取服務器任意文件，包括存儲密碼的核心文件，甚至盜取服務器源代碼。”

　　目前PHPCMS批量上傳內(nèi)容，PHPCMS V9官方已于7月16日推出升級補丁，但由于所以上漏洞細節(jié)已經(jīng)向公眾公開，大量未打補丁的網(wǎng)站仍存在源代碼泄露的威脅。對此PHPCMS批量更新文章 ，360網(wǎng)站安全檢測平臺在第一時間向旗下用戶發(fā)送了告警郵件，建議網(wǎng)站管理員及站長及時升級PHPCMS V9至官方最新版本，并定期使用360安全檢測服務，掌握網(wǎng)站安全情況并及時修補漏洞。

　　PHPCMS V9升級補丁地址：http://bbs.phpcms.cn/thread-621649-1-1.html

　　360網(wǎng)站安全服務

　　360為站長提供免費的網(wǎng)站安全解決方案，包括360網(wǎng)站安全檢測平臺和360網(wǎng)站衛(wèi)士。其中，360網(wǎng)站安全檢測平臺是國內(nèi)首個集網(wǎng)站漏洞檢測、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費檢測平臺，擁有全面的網(wǎng)站漏洞庫及蜜罐集群檢測系統(tǒng)，能夠第一時間協(xié)助網(wǎng)站檢測修復漏洞;360網(wǎng)站衛(wèi)士則為站長免費提供網(wǎng)站防火墻、DDOS保護、 CC保護 、智能DNS解析、盜鏈保護、頁面壓縮、緩存加速和永久在線等服務。