安全公告編號:
近日,國家信息安全漏洞共享平臺(CNVD)接收到阿里云計算有限公司(阿里云)報告的PHPCMS 2008代碼注入漏洞(CNVD-C-2018-127157,對應CVE-2018-19127)��。攻擊者利用該漏洞�����,可在未授權的情況下實現(xiàn)對網(wǎng)站文件的寫入��。目前��,漏洞利用原理已公開��,廠商已發(fā)布新版本修復此漏洞�����。
一�����、漏洞情況分析
PHPCMS網(wǎng)站內(nèi)容管理系統(tǒng)是采用OOP(面向對象)方式自主開發(fā)的框架��,該框架具有易擴展���、穩(wěn)定且具有較高的負載能力���,是國內(nèi)主流CMS系統(tǒng)之一。
2018年11月�����,阿里云安全研究人員研究發(fā)現(xiàn)PHPCMS 2008版本存在代碼注入漏洞��。攻擊者利用該漏洞�����,遠程通過代碼注入,可在未經(jīng)授權的情況下��,向網(wǎng)站上路徑可控的緩存文件寫入任意內(nèi)容��,進而可能在目標網(wǎng)站上植入后門��,實現(xiàn)在未經(jīng)授權的情況下��,對目標網(wǎng)站進行遠程命令執(zhí)行攻擊��。
CNVD對該漏洞的綜合評級為“高?���!?����。
二����、漏洞影響范圍
漏洞影響的產(chǎn)品版本包括:
PHPCMS2008 sp4及以下版本。
三����、漏洞處置建議
目前���,PHPCMS廠商已發(fā)布了新版本修復此漏洞(2008以上版本,包括PHPCMS 9.6.0等)����,CNVD建議用戶立即升級至最新版本:
http://www.phpcms.cn/v9/
附:參考鏈接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-19127
感謝CNVD技術組成員單位——阿里云計算有限公司為本公告提供的技術支持
