老系统曝出新漏洞 360发布PHPCMS2008安全补丁
时间:2023-08-13 02:55 来源:网络整理 作者:墨客科技 点击:次
据360网站安全检测平台披露,该平台近期收到技术高手提交PHPCMS 2008高危漏洞信息,黑客可利用该漏洞入侵网站,任意篡改页面、盗取用户资料等。360第一时间通知了厂商,但厂商表示该版本已不再维护,将不推出补丁。考虑到很多网站因进行过二次开发无法立刻升级系统,360网站安全团队提供了临时修复方案,推荐PHPCMS 2008的网站用户使用,或者升级到最新版PHPCMS V9。 PHPCMS是国内知名的CMS建站系统,拥有包括地方门户、政府网站、教育网、企业官网等在内的大量网站用户。据360网站安全检测平台透露,PHPCMS 2008存在的漏洞为代码执行漏洞,360已发送告警邮件提醒受此漏洞影响的网站用户,并为广大站长提供漏洞防护措施。 修复方案: 第一步: 根目录下upload_field.php文件的 if($catid) { $C = cache_read('category_'.$catid.'.php'); } 改成 if($catid) { $C = cache_read('category_'.$catid.'.php'); } else { $C['upload_allowext']=''; } 第二步: Include目录下template.func.php文件template_parse函数添加如下语句。 $str =preg_replace("/<\?php[\s\S]+?\?>|<\?[\s\S]+?\?>/i","",$str); 漏洞证明: 连接一句话木马 <ignore_js_op> 1小时前上传下载附件(22.6 KB) 新闻纠错:022-23601735 (责任编辑:admin) |