网络信息中心
设为首页  |  加入收藏
 首页  中心介绍  党建工作  网络安全  数字校园  办事指南  微机实验室  校园卡管理  规章制度  下载专区  等级考试 
网络安全公告
当前位置: 首页>>网络安全公告>>正文
关于PHPCMS 2008存在代码注入漏洞的安全公告
2018年11月27日   国家互联网应急中心 审核人:

安全公告编号:

近日,国家信息安全漏洞共享平台(CNVD)接收到阿里云计算有限公司(阿里云)报告的PHPCMS 2008代码注入漏洞(CNVD-C-2018-127157,对应CVE-2018-19127)。攻击者利用该漏洞,可在未授权的情况下实现对网站文件的写入。目前,漏洞利用原理已公开,厂商已发布新版本修复此漏洞。

一、漏洞情况分析

PHPCMS网站内容管理系统是采用OOP(面向对象)方式自主开发的框架,该框架具有易扩展、稳定且具有较高的负载能力,是国内主流CMS系统之一。

2018年11月,阿里云安全研究人员研究发现PHPCMS 2008版本存在代码注入漏洞。攻击者利用该漏洞,远程通过代码注入,可在未经授权的情况下,向网站上路径可控的缓存文件写入任意内容,进而可能在目标网站上植入后门,实现在未经授权的情况下,对目标网站进行远程命令执行攻击。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括:

PHPCMS2008 sp4及以下版本。

三、漏洞处置建议

目前,PHPCMS厂商已发布了新版本修复此漏洞(2008以上版本,包括PHPCMS 9.6.0等),CNVD建议用户立即升级至最新版本:

http://www.phpcms.cn/v9/

附:参考链接:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-19127

感谢CNVD技术组成员单位——阿里云计算有限公司为本公告提供的技术支持。

版权所有 广东技术师范大学 网络信息中心
地址:广州市天河区中山大道西293号广东技术师范大学实验楼三楼  邮编:510665