近期phpcms v9 被發(fā)現(xiàn)一個(gè)任意文件讀取漏洞，Phpcms 是目前互聯(lián)網(wǎng)上使用比較廣泛的web cms。攻擊者可以通過或者后臺(tái)登錄之后讀取任意文件包括數(shù)據(jù)庫(kù)配置文件，可導(dǎo)致入侵者獲得數(shù)據(jù)庫(kù)權(quán)限，并利用數(shù)據(jù)庫(kù)提權(quán)進(jìn)一步獲得系統(tǒng)權(quán)限，并帶來(lái)服務(wù)器系統(tǒng)的安全隱患。杭州安恒信息技術(shù)有限公司安全團(tuán)隊(duì)于12月20日將相關(guān)漏洞信息在第一時(shí)間以報(bào)告形式發(fā)送給中國(guó)國(guó)家信息安全漏洞。針對(duì)該漏洞可能已對(duì)部分用戶造成嚴(yán)重?fù)p失，安恒信息已經(jīng)在第一時(shí)間對(duì)明御Web應(yīng)用防火墻進(jìn)行升級(jí)，可有效抵御該漏洞的侵害。

安恒信息作為中國(guó)國(guó)家信息安全漏洞庫(kù)的成員單位（http://www.cnnvd.org.cn/coopration/cooprationorg/p/2/）以及良好的技術(shù)支持團(tuán)隊(duì)，是業(yè)界領(lǐng)先的應(yīng)用安全及數(shù)據(jù)庫(kù)安全整體解決方案提供商，專注于應(yīng)用安全前沿趨勢(shì)的研究和分析。其中安恒信息的“Web應(yīng)用防火墻”是結(jié)合多年應(yīng)用安全的攻防理論和應(yīng)急響應(yīng)實(shí)踐經(jīng)驗(yàn)積累的基礎(chǔ)上自主研發(fā)完成，滿足各類法律法規(guī)如PCI、等級(jí)保護(hù)、企業(yè)內(nèi)部控制規(guī)范等要求，以國(guó)內(nèi)首創(chuàng)的全透明直連部署模式，全面支持HTTPS，在提供Web應(yīng)用實(shí)時(shí)深度防御的同時(shí)實(shí)現(xiàn)WEB應(yīng)用加速、敏感信息泄露防護(hù)及網(wǎng)頁(yè)防篡改，為Web應(yīng)用提供全方位的防護(hù)解決方案。該產(chǎn)品致力于解決應(yīng)用及業(yè)務(wù)邏輯層面的安全問題，廣泛適用于“金融、運(yùn)營(yíng)商、政府、公安、教育、能源、稅務(wù)、工商、社保、衛(wèi)生、電子商務(wù)”等所有涉及Web應(yīng)用的各個(gè)行業(yè)。部署安恒的WAF產(chǎn)品，可以幫助用戶解決目前所面臨的各類網(wǎng)站安全問題，如：注入攻擊、跨站腳本攻擊(釣魚攻擊)、惡意編碼(網(wǎng)頁(yè)木馬)、緩沖區(qū)溢出、信息泄露、應(yīng)用層DoS/DDoS攻擊等。

安全提醒：

針對(duì)安恒信息提供的漏洞信息，漏洞預(yù)警已經(jīng)通報(bào)中國(guó)國(guó)家信息安全漏洞庫(kù)，并取得高度重視。在此，安恒信息專家提醒廣大用戶如使用phpcms發(fā)現(xiàn)問題，可直接咨詢安恒信息的技術(shù)專家，盡可能避免因安全風(fēng)險(xiǎn)造成的損失。軟件廠家做好軟件安全控制，通過自身或第三方安全廠家進(jìn)行軟件安全漏洞檢測(cè)，避免給用戶造成安全威脅。

漏洞詳細(xì)信息介紹：

受影響的程序版本：

PHPCMS V9.1.8 存在任意文件讀取漏洞

綜述：Phpcms 是目前互聯(lián)網(wǎng)上使用比較廣泛的web cms,近期phpcms v9 被發(fā)現(xiàn)一個(gè)任意文件讀取漏洞.攻擊者可以通過或者后臺(tái)登錄之后讀取 任意文件 包括數(shù)據(jù)庫(kù)配置文件.可導(dǎo)致入侵者獲得數(shù)據(jù)庫(kù)權(quán)限 并利用數(shù)據(jù)庫(kù)提權(quán)進(jìn)一步獲得系統(tǒng)權(quán)限.因此需要引起相關(guān)的用戶重視

分析：Phpcms 在登錄后臺(tái)后調(diào)用文件過程未做過濾導(dǎo)致可以讀取其他文件 泄漏相關(guān)文件,并帶來(lái)服務(wù)器系統(tǒng)的安全隱患

標(biāo)簽： ddos https web應(yīng)用防火墻 安全 電子商務(wù) 防火墻 服務(wù)器 服務(wù)器系統(tǒng) 互聯(lián)網(wǎng) 腳本 金融 漏洞 權(quán)限 數(shù)據(jù)庫(kù) 數(shù)據(jù)庫(kù)安全 信息安全 信息技術(shù)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。