關于PHPCMS V9.6 WAP模塊存在任意文件上傳漏洞的安全公告

近日，國(guó)家信息安全漏洞共享平台（CNVD）收錄了PHP存在任意文件上傳漏洞（CNVD-2017-04180）。遠程攻擊者可利用前台注冊功能(néng)上傳任意圖片木馬文件，獲得網站的控制權限。

一、漏洞情況分析
PHPCMS采用PHP5+MYSQL做爲技術基礎進(jìn)行開(kāi)發(fā)，是一款網站建站系統，該系統采用模塊化開(kāi)發(fā)，支持多種(zhǒng)分類方式，使用它可方便實現個性化網站的設計、開(kāi)發(fā)與維護。
PHPCMS V9.6 WAP模塊對(duì)前台用戶上傳的文件擴展名過(guò)濾不嚴，導緻存在任意文件上傳漏洞，遠程攻擊者通過(guò)注冊功能(néng)，使用#截斷繞過(guò)對(duì)文件擴展名的驗證，上傳一個僞造成(chéng)圖片的腳本文件獲取網站的webshell。

二、漏洞影響範圍
漏洞影響開(kāi)啓WAP模塊且開(kāi)放前台注冊功能(néng)的PHPCMS V9.6版本。

三、漏洞修複建議
目前官方暫未發(fā)布任何補丁，CNVD建議用戶關注廠商主頁，及時等待更新。

針對(duì)開(kāi)啓WAP模塊且開(kāi)放前台注冊功能(néng)用戶，臨時防護建議：

1.打開(kāi)文件/phpcms/libs/classes/attachment.class.php
在第166行後(hòu)加上如下代碼：
if(!preg_match(“/($ext)/i”, $filename)) continue:

2.使用第三方WEB防火牆（WAF）對(duì)網站進(jìn)行全面(miàn)的安全防護。