據(jù)360網(wǎng)站安全檢測平臺披露,該平臺近期收到技術(shù)高手提交PHPCMS 2008高危漏洞信息,黑客可利用該漏洞入侵網(wǎng)站,任意篡改頁面、盜取用戶資料等。360第一時間通知了廠商,但廠商表示該版本已不再維護,將不推出補丁。考慮到很多網(wǎng)站因進行過二次開發(fā)無法立刻升級系統(tǒng),360網(wǎng)站安全團隊提供了臨時修復(fù)方案,推薦PHPCMS 2008的網(wǎng)站用戶使用,或者升級到最新版PHPCMS V9。
PHPCMS是國內(nèi)知名的CMS建站系統(tǒng),擁有包括地方門戶、政府網(wǎng)站、教育網(wǎng)、企業(yè)官網(wǎng)等在內(nèi)的大量網(wǎng)站用戶。據(jù)360網(wǎng)站安全檢測平臺透露,PHPCMS 2008存在的漏洞為代碼執(zhí)行漏洞,360已發(fā)送告警郵件提醒受此漏洞影響的網(wǎng)站用戶,并為廣大站長提供漏洞防護措施。
修復(fù)方案:
第一步:
根目錄下upload_field.php文件的
if($catid)
{
$C = cache_read('category_'.$catid.'.php');
}
改成
if($catid)
{
$C = cache_read('category_'.$catid.'.php');
}
else
{
$C['upload_allowext']='';
}
第二步:
Include目錄下template.func.php文件template_parse 函數(shù)添加如下語句。
$str = preg_replace("/<\?php[\s\S]+?\?>|<\?[\s\S]+?\?>/i","",$str);