近日，烏云平臺曝出國內(nèi)知名網(wǎng)站內(nèi)容管理系統(tǒng)PHPCMS V9存在多個漏洞深入，其中以“任意文件讀取”漏洞危害最大表現，(地址：http://wooyun.org/bugs/wooyun-2010-09463 )，攻擊者利用此漏洞可以盜取網(wǎng)站源代碼首次。據(jù)360網(wǎng)站安全檢測數(shù)據(jù)顯示可能性更大，全國約5萬家網(wǎng)站存在此漏洞PHPCMS批量刪除關(guān)鍵詞，80%左右使用PHPCMS的網(wǎng)站受該漏洞影響搖籃。

　　360網(wǎng)站安全檢測平臺服務(wù)網(wǎng)址：http://webscan.#

PHPCMS批量更新文章 　　據(jù)了解技術，PHPCMS V9是國內(nèi)著名的PHP框架網(wǎng)站管理系統(tǒng)，被眾多的政府機(jī)構(gòu)推動、教育機(jī)構(gòu)相對較高、事業(yè)單位、商業(yè)企業(yè)以及個人站長所使用信息。經(jīng)360安全專家確認(rèn)PHPCMS批量添加產(chǎn)品相關，此次導(dǎo)致此次漏洞的文件位于/phpcms/modules/search/index.php。

　　圖：開發(fā)者在編寫代碼時豐富內涵，對傳入?yún)?shù)未做任何處理造成漏洞

　　360網(wǎng)站安全檢測平臺分析認(rèn)為生產效率，造成該高危漏洞的原因在于，地址獲取代碼對傳入的參數(shù)未做任何處理適應性，“一旦攻擊者構(gòu)造一個偽裝的字符串節點，就可以讀取站點(diǎn)根目錄下的index.php文件內(nèi)容，進(jìn)而讀取服務(wù)器任意文件落地生根，包括存儲密碼的核心文件的特點，甚至盜取服務(wù)器源代碼。”

　　目前有效保障，PHPCMS V9官方已于7月16日推出升級補(bǔ)丁大數據，但由于所以上漏洞細(xì)節(jié)已經(jīng)向公眾公開，大量未打補(bǔ)丁的網(wǎng)站仍存在源代碼泄露的威脅講實踐。對此數字技術，360網(wǎng)站安全檢測平臺在第一時間向旗下用戶發(fā)送了告警郵件，建議網(wǎng)站管理員及站長及時升級PHPCMS V9至官方最新版本為產業發展，并定期使用360安全檢測服務(wù)範圍和領域，掌握網(wǎng)站安全情況并及時修補(bǔ)漏洞有所增加。