PHPCMS2008安全补丁

原网址:http://webscan.360.cn/news/news104

据360网站安全检测平台披露，该平台近期收到技术高手提交PHPCMS 2008高危漏洞信息，黑客可利用该漏洞入侵网站，任意篡改页面、盗取用户资料等。360第一时间通知了厂商，但厂商表示该版本已不再维护，将不推出补丁。考虑到很多网站因进行过二次开发无法立刻升级系统，360网站安全团队提供了临时修复方案，推荐PHPCMS 2008的网站用户使用，或者升级到最新版PHPCMS V9。

PHPCMS是国内知名的CMS建站系统，拥有包括地方门户、政府网站、教育网、企业官网等在内的大量网站用户。据360网站安全检测平台透露，PHPCMS 2008存在的漏洞为代码执行漏洞，360已发送告警邮件提醒受此漏洞影响的网站用户，并为广大站长提供漏洞防护措施。

修复方案：

第一步：

根目录下upload_field.php文件的

if($catid)

{

    $C = cache_read('category_'.$catid.'.php');

}

改成

if($catid)

{

    $C = cache_read('category_'.$catid.'.php');

}

else

{

    $C['upload_allowext']='';

}

第二步：

Include目录下template.func.php文件template_parse 函数添加如下语句。

$str =preg_replace("/<\?php[\s\S]+?\?>|<\?[\s\S]+?\?>/i","",$str);

漏洞证明：

连接一句话木马