techsir 登陆 |注册|TS首页
  首页 快活林 IT业界

老系统曝出新漏洞 360独家发布PHPCMS2008安全补丁

By: 门前的月光 发表于 2013-7-10 20:37:29 · 3120次点击   回复:0   
  据360网站安全检测平台披露,该平台近期收到技术高手提交PHPCMS2008高危漏洞信息,黑客可利用该漏洞入侵网站,任意篡改页面、盗取用户资料等。360第一时间通知了厂商,但厂商表示该版本已不再维护,将不推出补丁。考虑到很多网站因进行过二次开发无法立刻升级系统,360网站安全团队提供了临时修复方案,推荐PHPCMS2008的网站用户使用,或者升级到最新版PHPCMSV9。
  PHPCMS是国内知名的CMS建站系统,拥有包括地方门户、政府网站、教育网、企业官网等在内的大量网站用户。据360网站安全检测平台透露,PHPCMS2008存在的漏洞为代码执行漏洞,360已发送告警邮件提醒受此漏洞影响的网站用户,并为广大站长提供漏洞防护措施。
  修复方案:
  第一步:
  根目录下upload_field.php文件的
  if($catid)
  {
          $C=cache_read('category_'.$catid.'.php');
  }
  改成
  if($catid)
  {
          $C=cache_read('category_'.$catid.'.php');
  }
  else
  {
  $C['upload_allowext']='';
  }
  第二步:
  Include目录下template.func.php文件template_parse函数添加如下语句。
  $str=preg_replace("/<\?php[\s\S]+?\?>|<\?[\s\S]+?\?>/i","",$str);
  漏洞证明:
  连接一句话木马

  关于360网站安全产品:
  360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士:
  360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞;
  360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。
3120次点击
0个回复  |  直到 2013-7-10 20:37:29
添加一条新回复
您需要登录后才可以回帖 登录 | 成为会员 新浪微博登陆

标签云|手机版|科技先生 ( 京ICP备07036130号 Powered by Discuz! X )

GMT+8, 2024-12-23 10:30