【漏洞公告】PHPCMS前台任意文件上传漏洞

2017年4月10日，PHPCMS暴露了一个高危漏洞。该漏洞可以通过前台页面直接上传任意文件，从而获取到网站的管理权限。该漏洞的POC已经公开，风险极高。

漏洞详情见下文。

---

漏洞编号

暂无

漏洞名称

PHPCMS前台任意文件上传漏洞

官方评级

高危

漏洞描述

通过提交简单的恶意构造参数，攻击者使用工具可直接上传任意文件，进而获取到网站的管理权限。

漏洞利用条件和方式

远程代码执行

漏洞影响范围

PHPCMS 9.6.0

漏洞检测

使用阿里云云盾态势感知和安骑士来自动检测该漏洞。

漏洞修复建议(或缓解措施)

• 升级到PHPCMS官方发布的9.6.1及以上版本来修复该漏洞。

• 使用阿里云云盾态势感知和安骑士自动检测漏洞；安骑士同时提供了补丁，您可以自动修复该漏洞。

• 使用阿里云云盾WAF来防护该漏洞。

情报来源

[1]. http://www.freebuf.com/vuls/131648.html