老系統(tǒng)曝出新漏洞 360獨家發(fā)布PHPCMS2008安全補丁

2013-07-10 09:20:00來源:西部e網(wǎng)作者:

據(jù)360網(wǎng)站安全檢測平臺披露,該平臺近期收到技術(shù)高手提交PHPCMS 2008高危漏洞信息,黑客可利用該漏洞入侵網(wǎng)站,任意篡改頁面、盜取用戶資料等。360第一時間通知了廠商,但廠商表示該版本已不再維護,將不推出補丁。

據(jù)360網(wǎng)站安全檢測平臺披露,該平臺近期收到技術(shù)高手提交PHPCMS 2008高危漏洞信息,黑客可利用該漏洞入侵網(wǎng)站,任意篡改頁面、盜取用戶資料等。360第一時間通知了廠商,但廠商表示該版本已不再維護,將不推出補丁。考慮到很多網(wǎng)站因進行過二次開發(fā)無法立刻升級系統(tǒng),360網(wǎng)站安全團隊提供了臨時修復(fù)方案,推薦PHPCMS 2008的網(wǎng)站用戶使用,或者升級到最新版PHPCMS V9。

PHPCMS是國內(nèi)知名的CMS建站系統(tǒng),擁有包括地方門戶、政府網(wǎng)站、教育網(wǎng)、企業(yè)官網(wǎng)等在內(nèi)的大量網(wǎng)站用戶。據(jù)360網(wǎng)站安全檢測平臺透露,PHPCMS 2008存在的漏洞為代碼執(zhí)行漏洞,360已發(fā)送告警郵件提醒受此漏洞影響的網(wǎng)站用戶,并為廣大站長提供漏洞防護措施。

修復(fù)方案:

第一步:

根目錄下upload_field.php文件的
if($catid)
{
    $C = cache_read('category_'.$catid.'.php');
}

改成
if($catid)
{
    $C = cache_read('category_'.$catid.'.php');
}
else
{
    $C['upload_allowext']='';
}

第二步:

Include目錄下template.func.php文件template_parse 函數(shù)添加如下語句。

$str = preg_replace("/<\?php[\s\S]+?\?>|<\?[\s\S]+?\?>/i","",$str);
 

關(guān)鍵詞:PHPCMS

贊助商鏈接: