双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

安全公告編號(hào):CNTA-2017-0025

近日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了PHP存在任意文件上傳漏洞（CNVD-2017-04180）。遠(yuǎn)程攻擊者可利用前臺(tái)注冊(cè)功能上傳任意圖片木馬文件，獲得網(wǎng)站的控制權(quán)限。

一、漏洞情況分析

PHPCMS采用PHP5+MYSQL做為技術(shù)基礎(chǔ)進(jìn)行開(kāi)發(fā)，是一款網(wǎng)站建站系統(tǒng)，該系統(tǒng)采用模塊化開(kāi)發(fā)，支持多種分類(lèi)方式，使用它可方便實(shí)現(xiàn)個(gè)性化網(wǎng)站的設(shè)計(jì)、開(kāi)發(fā)與維護(hù)。

?PHPCMS V9.6 WAP模塊對(duì)前臺(tái)用戶(hù)上傳的文件擴(kuò)展名過(guò)濾不嚴(yán)，導(dǎo)致存在任意文件上傳漏洞，遠(yuǎn)程攻擊者通過(guò)注冊(cè)功能，使用#截?cái)嗬@過(guò)對(duì)文件擴(kuò)展名的驗(yàn)證，上傳一個(gè)偽造成圖片的腳本文件獲取網(wǎng)站的webshell。

CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。

二、漏洞影響范圍

漏洞影響開(kāi)啟WAP模塊且開(kāi)放前臺(tái)注冊(cè)功能的PHPCMS V9.6版本。

三、漏洞修復(fù)建議

目前官方暫未發(fā)布任何補(bǔ)丁，CNVD建議用戶(hù)關(guān)注廠商主頁(yè)，及時(shí)等待更新。

針對(duì)開(kāi)啟WAP模塊且開(kāi)放前臺(tái)注冊(cè)功能用戶(hù)，臨時(shí)防護(hù)建議：

1.打開(kāi)文件/phpcms/libs/classes/attachment.class.php

在第166行后加上如下代碼：

if(!preg_match("/($ext)/i", $filename)) continue:

2.使用第三方WEB防火墻（WAF）對(duì)網(wǎng)站進(jìn)行全面的安全防護(hù)。

附：參考鏈接：

http://0day5.com/archives/4368/?

http://www.cnvd.org.cn/flaw/show/CNVD-2017-04180