首頁 > 新聞資訊 > 互聯網安全公告 > 詳情信息

關于PHPCMS 2008存在代碼注入漏洞的安全公告

發布時間:2018-11-28 11:16:06

新聞來源:國家互聯網應急中心

安全公告編號:CNTA-2018-0030

近日,國家信息安全漏洞共享平臺(CNVD)接收到阿里云計算有限公司(阿里云)報告的PHPCMS 2008代碼注入漏洞(CNVD-C-2018-127157,對應CVE-2018-19127)。攻擊者利用該漏洞,可在未授權的情況下實現對網站文件的寫入。目前,漏洞利用原理已公開,廠商已發布新版本修復此漏洞。

一、漏洞情況分析

PHPCMS網站內容管理系統是采用OOP(面向對象)方式自主開發的框架,該框架具有易擴展、穩定且具有較高的負載能力,是國內主流CMS系統之一。

2018年11月,阿里云安全研究人員研究發現PHPCMS 2008版本存在代碼注入漏洞。攻擊者利用該漏洞,遠程通過代碼注入,可在未經授權的情況下,向網站上路徑可控的緩存文件寫入任意內容,進而可能在目標網站上植入后門,實現在未經授權的情況下,對目標網站進行遠程命令執行攻擊。

CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

漏洞影響的產品版本包括:

PHPCMS2008 sp4及以下版本。

三、漏洞處置建議

目前,PHPCMS廠商已發布了新版本修復此漏洞(2008以上版本,包括PHPCMS 9.6.0等),CNVD建議用戶立即升級至最新版本:

http://www.phpcms.cn/v9/


附:參考鏈接:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-19127