PHPCMS V9任意文件讀取漏洞威脅網站源代碼安全

　　近日，烏云平臺曝出國內知名網站內容管理系統PHPCMS V9存在多個漏洞，其中以“任意文件讀取”漏洞危害最大，(地址：http://wooyun.org/bugs/wooyun-2010-09463 )，攻擊者利用此漏洞可以盜取網站源代碼。據360網站安全檢測數據顯示，全國約5萬家網站存在此漏洞PHPCMS批量刪除關鍵詞，80%左右使用PHPCMS的網站受該漏洞影響。

　　360網站安全檢測平臺服務網址：http://webscan.360.cn

PHPCMS批量更新文章 　　據了解，PHPCMS V9是國內著名的PHP框架網站管理系統，被眾多的政府機構、教育機構、事業單位、商業企業以及個人站長所使用。經360安全專家確認PHPCMS批量添加產品，此次導致此次漏洞的文件位于/phpcms/modules/search/index.php。

　　圖：開發者在編寫代碼時，對傳入參數未做任何處理造成漏洞

　　360網站安全檢測平臺分析認為，造成該高危漏洞的原因在于，地址獲取代碼對傳入的參數未做任何處理，“一旦攻擊者構造一個偽裝的字符串，就可以讀取站點根目錄下的index.php文件內容，進而讀取服務器任意文件，包括存儲密碼的核心文件，甚至盜取服務器源代碼。”

　　目前，PHPCMS V9官方已于7月16日推出升級補丁，但由于所以上漏洞細節已經向公眾公開，大量未打補丁的網站仍存在源代碼泄露的威脅。對此，360網站安全檢測平臺在第一時間向旗下用戶發送了告警郵件，建議網站管理員及站長及時升級PHPCMS V9至官方最新版本，并定期使用360安全檢測服務，掌握網站安全情況并及時修補漏洞。