360网站安全协助PHPCMS修复高危漏洞

　　5月22日消息，PHPCMS官网今天发布V9.3.3正式版及升级补丁，修复了由360网站安全“库带计划”和WooYun报告的安全漏洞，并对360和WooYun提供信息反馈表示公开致谢。

　　PHPCMS是国内知名的CMS建站系统PHPCMS批量删除关键词，拥有包括地方门户、政府网站、教育网、企业官网等在内的大量网站用户。据360网站安全检测平台透露，360“库带计划”近期收集到技术高手“合肥滨湖虎子”提交的PPHCMS V9宽字节注入漏洞，验证后第一时间联系了PHPCMS官方，同时发送告警邮件提醒360网站安全产品用户，为广大站长第一时间提供漏洞防护措施。

　　360网站安全协助PHPCMS修复高危漏洞

　　图：PHPCMS官网发布的漏洞报告致谢

　　360网站安全工程师介绍说，此次PHPCMS漏洞影响的版本为 V9 gbk版本(PHP版本限于5.4.0以下)。黑客可利用该漏洞取得网站管理员权限，从而实现对网站的拖库、挂马、篡改等侵害。建议相关网站尽快更新PHPCMS官方发布的补丁，也可以加入360网站卫士防护，就能避免漏洞被黑客攻击利用。

　　据了解，360公司目前有两款免费的网站安全产品，分别是360网站安全检测(webscan.360.cn)和360网站卫士(wangzhan.360.cn)。前者为网站提供免费安全体检服务，后者为网站提供免费的安全防护和网站加速服务。

　　360“库带计划”则是由360公司于今年3月底启动的开源系统漏洞悬赏项目，目前已经受到众多安全技术高手的支持，从而协助ShopEx、Discuz!等十余个知名建站系统修复漏洞，保护百万级网站降低了被黑客攻击的风险。

　　PHPCMSV9任意文件读取漏洞威胁网站安全

　　近日，乌云平台曝出国内知名网站内容管理系统PHPCMS V9存在多个漏洞，其中以“任意文件读取”漏洞危害最大，(地址：http://wooyun.org/bugs/wooyun-2010-09463 )PHPCMS批量添加栏目，攻击者利用此漏洞可以盗取网站源代码。据360网站安全检测数据显示PHPCMS批量删除关键词，全国约5万家网站存在此漏洞，80%左右使用PHPCMS的网站受该漏洞影响。

　　360网站安全检测平台服务网址：http://webscan.360.cn

　　据了解，PHPCMS V9是国内著名的PHP框架网站管理系统，被众多的政府机构、教育机构、事业单位、商业企业以及个人站长所使用。经360安全专家确认，此次导致此次漏洞的文件位于/phpcms/modules/search/index.php。

　　▲图：开发者在编写代码时，对传入参数未做任何处理造成漏洞

　　360网站安全检测平台分析认为，造成该高危漏洞的原因在于，地址获取代码对传入的参数未做任何处理，“一旦攻击者构造一个伪装的字符串，就可以读取站点根目录下的index.php文件内容，进而读取服务器任意文件，包括存储密码的核心文件，甚至盗取服务器源代码。”

　　目前PHPCMS批量上传内容，PHPCMS V9官方已于7月16日推出升级补丁，但由于所以上漏洞细节已经向公众公开，大量未打补丁的网站仍存在源代码泄露的威胁。对此PHPCMS批量更新文章 ，360网站安全检测平台在第一时间向旗下用户发送了告警邮件，建议网站管理员及站长及时升级PHPCMS V9至官方最新版本，并定期使用360安全检测服务，掌握网站安全情况并及时修补漏洞。

　　PHPCMS V9升级补丁地址：http://bbs.phpcms.cn/thread-621649-1-1.html

　　360网站安全服务

　　360为站长提供免费的网站安全解决方案，包括360网站安全检测平台和360网站卫士。其中，360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台，拥有全面的网站漏洞库及蜜罐集群检测系统，能够第一时间协助网站检测修复漏洞;360网站卫士则为站长免费提供网站防火墙、DDOS保护、 CC保护 、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。