PHPCMSV9任意文件读取漏洞威胁昆明人前沿

2012 年 11 月 22 日4650

PHPCMSV9任意文件读取漏洞威胁昆明人前沿

http://http://www.zjjv.com//.cn/enews/ 2012年07月27日14:37 来源:艾瑞网

【文章摘要】近日,乌云平台曝出国内知名昆明人内容管理系统PHPCMS V9存在多个漏洞,其中以“任意文件读取”漏洞危害最大,(地址:http://http://www.zjjv.com///bugs/wooyun-2010-09463 ),攻击者利用此漏洞可以盗取昆明人源代码。

  近日,乌云平台曝出国内知名昆明人内容管理系统PHPCMS V9存在多个漏洞,其中以“任意文件读取”漏洞危害最大,(地址:http://http://www.zjjv.com///bugs/wooyun-2010-09463 ),攻击者利用此漏洞可以盗取昆明人源代码。据360昆明人前沿检测数据显示,全国约5万家昆明人存在此漏洞,80%左右使用PHPCMS的昆明人受该漏洞影响。

  360昆明人前沿检测平台服务网址:http://http://www.zjjv.com//

  据了解,PHPCMS V9是国内著名的PHP框架昆明人管理系统,被众多的政府机构、教育机构、事业单位、商业企业以及个人站长所使用。经360前沿专家确认,此次导致此次漏洞的文件位于/phpcms/modules/search/index.php

  图:开发者在编写代码时,对传入参数未做任何处理造成漏洞

  360昆明人前沿检测平台分析认为,造成该高危漏洞的原因在于,地址获取代码对传入的参数未做任何处理,“一旦攻击者构造一个伪装的字符串,就可以读取站点根目录下的index.php文件内容,进而读取服务器任意文件,包括存储密码的核心文件,甚至盗取服务器源代码。”

  目前,PHPCMS V9官方已于7月16日推出升级补丁,但由于所以上漏洞细节已经向公众公开,大量未打补丁的昆明人仍存在源代码泄露的威胁。对此,360昆明人前沿检测平台在第一时间向旗下用户发送了告警邮件,建议昆明人管理员及站长及时升级PHPCMS V9至官方最新版本,并定期使用360前沿检测服务,掌握昆明人前沿情况并及时修补漏洞。

  PHPCMS V9升级补丁地址:http://http://www.zjjv.com///thread-621649-1-1.html

责任编辑:王雪

热词:

0 0