安全公告編號(hào):
近日���,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)接收到阿里云計(jì)算有限公司(阿里云)報(bào)告的PHPCMS 2008代碼注入漏洞(CNVD-C-2018-127157,對(duì)應(yīng)CVE-2018-19127)。攻擊者利用該漏洞�,可在未授權(quán)的情況下實(shí)現(xiàn)對(duì)網(wǎng)站文件的寫(xiě)入。目前���,漏洞利用原理已公開(kāi)�����,廠商已發(fā)布新版本修復(fù)此漏洞�����。
一、漏洞情況分析
PHPCMS網(wǎng)站內(nèi)容管理系統(tǒng)是采用OOP(面向?qū)ο螅┓绞阶灾鏖_(kāi)發(fā)的框架���,該框架具有易擴(kuò)展��、穩(wěn)定且具有較高的負(fù)載能力�����,是國(guó)內(nèi)主流CMS系統(tǒng)之一���。
2018年11月,阿里云安全研究人員研究發(fā)現(xiàn)PHPCMS 2008版本存在代碼注入漏洞。攻擊者利用該漏洞��,遠(yuǎn)程通過(guò)代碼注入����,可在未經(jīng)授權(quán)的情況下,向網(wǎng)站上路徑可控的緩存文件寫(xiě)入任意內(nèi)容���,進(jìn)而可能在目標(biāo)網(wǎng)站上植入后門(mén)�,實(shí)現(xiàn)在未經(jīng)授權(quán)的情況下��,對(duì)目標(biāo)網(wǎng)站進(jìn)行遠(yuǎn)程命令執(zhí)行攻擊�����。
CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?��!?�。
二����、漏洞影響范圍
漏洞影響的產(chǎn)品版本包括:
PHPCMS2008 sp4及以下版本��。
三、漏洞處置建議
目前����,PHPCMS廠商已發(fā)布了新版本修復(fù)此漏洞(2008以上版本,包括PHPCMS 9.6.0等)����,CNVD建議用戶立即升級(jí)至最新版本:
http://www.phpcms.cn/v9/
附:參考鏈接:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-19127
感謝CNVD技術(shù)組成員單位——阿里云計(jì)算有限公司為本公告提供的技術(shù)支持
