关于PHPCMS 2008存在代码注入漏洞的安全公告

安全公告编号: CNTA-2018-0030

近日，国家信息安全漏洞共享平台（CNVD）接收到阿里云计算有限公司（阿里云）报告的PHPCMS 2008代码注入漏洞（CNVD-C-2018-127157，对应CVE-2018-19127）。攻击者利用该漏洞，可在未授权的情况下实现对网站文件的写入。目前，漏洞利用原理已公开，厂商已发布新版本修复此漏洞。

一、漏洞情况分析

PHPCMS网站内容管理系统是采用OOP（面向对象）方式自主开发的框架，该框架具有易扩展、稳定且具有较高的负载能力，是国内主流CMS系统之一。

2018年11月，阿里云安全研究人员研究发现PHPCMS 2008版本存在代码注入漏洞。攻击者利用该漏洞，远程通过代码注入，可在未经授权的情况下，向网站上路径可控的缓存文件写入任意内容，进而可能在目标网站上植入后门，实现在未经授权的情况下，对目标网站进行远程命令执行攻击。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括：

PHPCMS2008 sp4及以下版本。

三、漏洞处置建议

目前，PHPCMS厂商已发布了新版本修复此漏洞（2008以上版本，包括PHPCMS 9.6.0等），CNVD建议用户立即升级至最新版本：

http://www.phpcms.cn/v9/