PHPCMS V9任意文件读取漏洞威胁网站源代码安全

shadow159

PHPCMS V9任意文件读取漏洞威胁网站源代码安全
近日，乌云平台曝出国内知名网站内容管理系统PHPCMS V9存在多个漏洞，其中以“任意文件读取”漏洞危害最大，(地址：http://wooyun.org/bugs/wooyun-2010-09463 )，攻击者利用此漏洞可以盗取网站源代码。360网站安全检测平台对旗下用户的专项扫描发现，共1503个网站存在这一漏洞，影响范围涉及多个行业。
360网站安全检测平台服务网址：http://webscan.360.cn
据了解，PHPCMS V9是国内著名的PHP框架网站管理系统，被众多的政府机构、教育机构、事业单位、商业企业以及个人站长所使用。经360安全专家确认，此次导致此次漏洞的文件位于/phpcms/modules/search/index.php。
   
图：开发者在编写代码时，对传入参数未做任何处理造成漏洞
360网站安全检测平台分析认为，造成该高危漏洞的原因在于，地址获取代码对传入的参数未做任何处理，“一旦攻击者构造一个伪装的字符串，就可以读取站点根目录下的index.php文件内容，进而读取服务器任意文件，包括存储密码的核心文件，甚至盗取服务器源代码。”
目前，PHPCMS V9官方已于7月16日推出升级补丁，但由于所以上漏洞细节已经向公众公开，大量未打补丁的网站仍存在源代码泄露的威胁。对此，360网站安全检测平台在第一时间向旗下用户发送了告警邮件，建议网站管理员及站长及时升级PHPCMS V9至官方最新版本，并定期使用360安全检测服务，掌握网站安全情况并及时修补漏洞。
    PHPCMS V9升级补丁地址：http://bbs.phpcms.cn/thread-621649-1-1.html
关于360网站安全检测平台
360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台，拥有全面的网站漏洞库及蜜罐集群检测系统，能够第一时间协助网站检测修复漏洞。2011年，360网站安全检测平台曾协同360团购导航，为国内数百家主流团购网站提供了免费网站漏洞检测服务并提供修复建议，提高了团购网站整体安全水平。

cnliang

我自己做出来了。。谢谢~~