百度權(quán)重查詢 站長交易 友情鏈接交換 網(wǎng)站建設(shè),網(wǎng)站設(shè)計(jì),企業(yè)建站就找313
近日�����,烏云平臺(tái)曝出國內(nèi)知名網(wǎng)站內(nèi)容管理系統(tǒng)PHPCMS V9存在多個(gè)漏洞�����,其中以“任意文件讀取”漏洞危害最大,(地址:http:///bugs/wooyun-2010-09463 )��,攻擊者利用此漏洞可以盜取網(wǎng)站源代碼���。據(jù)360網(wǎng)站安全檢測數(shù)據(jù)顯示�����,全國約5萬家網(wǎng)站存在此漏洞���,80%左右使用PHPCMS的網(wǎng)站受該漏洞影響。
360網(wǎng)站安全檢測平臺(tái)服務(wù)網(wǎng)址:http://webscan.#
據(jù)了解��,PHPCMS V9是國內(nèi)著名的PHP框架網(wǎng)站管理系統(tǒng)����,被眾多的政府機(jī)構(gòu)、教育機(jī)構(gòu)����、事業(yè)單位、商業(yè)企業(yè)以及個(gè)人站長所使用����。經(jīng)360安全專家確認(rèn)����,此次導(dǎo)致此次漏洞的文件位于/phpcms/modules/search/index.php���。
圖:開發(fā)者在編寫代碼時(shí),對傳入?yún)?shù)未做任何處理造成漏洞
360網(wǎng)站安全檢測平臺(tái)分析認(rèn)為��,造成該高危漏洞的原因在于�,地址獲取代碼對傳入的參數(shù)未做任何處理,“一旦攻擊者構(gòu)造一個(gè)偽裝的字符串��,就可以讀取站點(diǎn)根目錄下的index.php文件內(nèi)容���,進(jìn)而讀取服務(wù)器任意文件���,包括存儲(chǔ)密碼的核心文件,甚至盜取服務(wù)器源代碼���?�!?/p>
目前���,PHPCMS V9官方已于7月16日推出升級(jí)補(bǔ)丁�,但由于所以上漏洞細(xì)節(jié)已經(jīng)向公眾公開�,大量未打補(bǔ)丁的網(wǎng)站仍存在源代碼泄露的威脅。對此��,360網(wǎng)站安全檢測平臺(tái)在第一時(shí)間向旗下用戶發(fā)送了告警郵件�����,建議網(wǎng)站管理員及站長及時(shí)升級(jí)PHPCMS V9至官方最新版本�,并定期使用360安全檢測服務(wù),掌握網(wǎng)站安全情況并及時(shí)修補(bǔ)漏洞�����。
PHPCMS V9升級(jí)補(bǔ)丁地址:http://bbs./thread-621649-1-1.html
|
