近日,國家信息安全漏洞共享平臺(CNVD)接收到阿里雲計算有限公司(阿里雲)報告的PHPCMS 2008代碼注入漏洞(CNVD-C-2018-127157,對應CVE-2018-19127)。攻擊者利用該漏洞,可在未授權的情況下實現對網站文件的寫入。目前,漏洞利用原理已公開,廠商已發佈新版本修復此漏洞。
一、漏洞情況分析
PHPCMS網站內容管理系統是採用OOP(面向對象)方式自主開發的框架,該框架具有易擴展、穩定且具有較高的負載能力,是國內主流CMS系統之一。
2018年11月,阿里雲安全研究人員研究發現PHPCMS 2008版本存在代碼注入漏洞。攻擊者利用該漏洞,遠程通過代碼注入,可在未經授權的情況下,向網站上路徑可控的緩存文件寫入任意內容,進而可能在目標網站上植入後門,實現在未經授權的情況下,對目標網站進行遠程命令執行攻擊。
CNVD對該漏洞的綜合評級為“高危”。
二、漏洞影響範圍
漏洞影響的產品版本包括:
PHPCMS2008 sp4及以下版本。
三、漏洞處置建議
目前,PHPCMS廠商已發佈了新版本修復此漏洞(2008以上版本,包括PHPCMS 9.6.0等),CNVD建議用戶立即升級至最新版本:http://www.phpcms.cn/v9/
*消息參考:http://www.cert.org.cn/
閱讀更多 安全週刊 的文章