-
-
[转帖]CmsEasy上传漏洞
-
发表于: 2013-5-5 20:04 2790
-
新闻链接:http://bbs.jiasule.com/forum.php?mod=viewthread&tid=3284&page=1&extra=#pid8404
新闻时间:2013.05.05
新闻正文:
近日,互联网上公布了一例关于“CmsEasy”的上传漏洞,并给出了攻击程序,经SCANV网站安全中心研究人员分析后确认,漏洞确实存在,到本文发布为止,官方还未推出任何防御补丁,该漏洞属于“0day”高危漏洞。攻击者利用该漏洞可以直接上传恶意文件,并最终导致网站被“脱裤”、“挂马”及“非法SEO”等危险。目前我们已经把漏洞细节报告给CmsEasy官方,请广大站长朋友注意留意CmsEasy官方动态,以及我们的微博,同时复查网站安全状态,启用临时安全补丁(详见下)。
关于CmsEasy
CmsEasy是国内一款使用PHP+MySQL技术开发的企业网站程序,是国内比较常见的CMS程序之一,由于其使用广泛、用户数量大,也成为“黑客”密切关注的对象!
临时安全补丁
在\lib\tool\front_class.php文件中,第2665行左右的move_uploaded_file函数上方添加如下语句:
if (!$new_name ||!preg_match('/\.(jpg|gif|png|bmp)$/',$new_name))
{
return false;
}
名词解释
0day漏洞:是指已经被发现(有可能未被公开)而官方还未发布相关补丁的漏洞。
上传漏洞:是应用程序常见的一种漏洞类型,该漏洞可以直接危及到网站数据安全从而导致网站被“脱库”,严重者甚至危及到网站服务器系统安全,属于“高危”漏洞。
关于SCANV网站安全中心及知道创宇
“SCANV 网站安全中心“(http://www.scanv.com),由知道创宇安全研究团队驱动, 专注网站安全一体化解决方案,给站长朋友们提供网站漏洞诊断、漏洞预警、被黑预警,并 提供多维度的安全解决方案、专家一对一漏洞修复、一键云端防御等。
"知道创宇" (http://www.knownsec.com)全称为北京知道创宇信息技术有限公司。是 国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑 的下一代 Web 安全解决方案。 知道创宇总部设在北京,在香港、上海、广州、成都设有分公司,客户及合作伙伴来自中国、 美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、易管理性、合规性和业务 连续性、以及动态保障关键 Web 数据资产安全的能力,帮助用户应对变化多端的互联网安 全威胁,赢得了企业、政府与公共机构的青睐。知道创宇安全实验室在零日安全威胁与云安 全技术方面的研究得到了业内的广泛认同并享有极高知名度。
新闻时间:2013.05.05
新闻正文:
近日,互联网上公布了一例关于“CmsEasy”的上传漏洞,并给出了攻击程序,经SCANV网站安全中心研究人员分析后确认,漏洞确实存在,到本文发布为止,官方还未推出任何防御补丁,该漏洞属于“0day”高危漏洞。攻击者利用该漏洞可以直接上传恶意文件,并最终导致网站被“脱裤”、“挂马”及“非法SEO”等危险。目前我们已经把漏洞细节报告给CmsEasy官方,请广大站长朋友注意留意CmsEasy官方动态,以及我们的微博,同时复查网站安全状态,启用临时安全补丁(详见下)。
关于CmsEasy
CmsEasy是国内一款使用PHP+MySQL技术开发的企业网站程序,是国内比较常见的CMS程序之一,由于其使用广泛、用户数量大,也成为“黑客”密切关注的对象!
临时安全补丁
在\lib\tool\front_class.php文件中,第2665行左右的move_uploaded_file函数上方添加如下语句:
if (!$new_name ||!preg_match('/\.(jpg|gif|png|bmp)$/',$new_name))
{
return false;
}
名词解释
0day漏洞:是指已经被发现(有可能未被公开)而官方还未发布相关补丁的漏洞。
上传漏洞:是应用程序常见的一种漏洞类型,该漏洞可以直接危及到网站数据安全从而导致网站被“脱库”,严重者甚至危及到网站服务器系统安全,属于“高危”漏洞。
关于SCANV网站安全中心及知道创宇
“SCANV 网站安全中心“(http://www.scanv.com),由知道创宇安全研究团队驱动, 专注网站安全一体化解决方案,给站长朋友们提供网站漏洞诊断、漏洞预警、被黑预警,并 提供多维度的安全解决方案、专家一对一漏洞修复、一键云端防御等。
"知道创宇" (http://www.knownsec.com)全称为北京知道创宇信息技术有限公司。是 国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑 的下一代 Web 安全解决方案。 知道创宇总部设在北京,在香港、上海、广州、成都设有分公司,客户及合作伙伴来自中国、 美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、易管理性、合规性和业务 连续性、以及动态保障关键 Web 数据资产安全的能力,帮助用户应对变化多端的互联网安 全威胁,赢得了企业、政府与公共机构的青睐。知道创宇安全实验室在零日安全威胁与云安 全技术方面的研究得到了业内的广泛认同并享有极高知名度。
赞赏
看原图
赞赏
雪币:
留言: