近日，国内著名第三方漏洞报告平台wooyun网曝光了PHPCMS v9的一个上传漏洞（http://www.wooyun.org/bugs/wooyun-2013-019299），并公布了该漏洞攻击程序，攻击者可以通过该漏洞直接上传网站木马控制服务器，最终导致网站“脱库”、“挂马”等严重后果。知道创宇安全研究团队分析发现，到本文发布日期为止，官方还没有发布针对该漏洞的任何防御补丁，是一个高危“0day”漏洞。知道创宇安全研究团队已积极联系官方，请各位站长密切关注官方动态，同时复查网站安全状态，启用临时安全补丁（详见下）。

黑客通过该上传漏洞可执行任意代码

关于PHPCMS

PHPCMS网站管理系统是国内主流CMS系统之一，曾多次被新浪、网易、电脑报等IT媒体报道。已有数万网站的应用规模，拥有政府、 企业、科研教育和媒体等各个行业领域近千名商业用户。 

官方网站：http://www.phpcms.cn/

漏洞分析

知道创宇安全研究人员发现，该漏洞主要原因是在上传文件，对上传的文件后缀进行安全限制时，考虑不全，导致在web服务器为apache的情况下绕过安全限制。

主要代码在文件\phpcms\libs\functions\global.func.php中的fileext函数 进行文件后缀提取：

function fileext($filename) {
 return strtolower(trim(substr(strrchr($filename, '.'), 1, 10)));
}

攻击者可以通过使用/1.thumb_.Php.JPG%20%20%20%20%20%20%20Php方式绕过，这样取出来的后缀名为jpg，是合法的.直接绕过phpcms\modules\attachment\attachments.php中的一系列对上传文件后缀的安全限制。而由于apache的文件名解析特性导致上传文件里php代码最终被解析执行。


临时补丁

可以暂时将文件phpcms\modules\attachment\attachments.php的第104行改为：

if(is_image($_GET['file'])== false || strpos(strtolower($_GET['file']),'.php')!==false) exit();

名词解释

0day －－－ 是指已经被发现(有可能未被公开)，而官方还没有相关补丁的漏洞。

关于加速乐及知道创宇

“加速乐”是中国领先的互联网安全提供商知道创宇推出的一款在线免费网站CDN加速、网站安全防护平台。致力于系统化解决网站访问速度过慢及网站反黑客问题。

官方网站：http://www.jiasule.com/

“知道创宇”全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业，始终致力于为客户提供基于云技术支撑的下一代Web安全解决方案。

知道创宇总部设在北京，在香港、上海、广州、成都设有分公司，客户及合作伙伴来自中国、美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、易管理性、合规性和业务连续性、以及动态保障关键Web数据资产安全的能力，帮助用户应对变化多端的互联网安全威胁，赢得了企业、政府与公共机构的青睐。知道创宇安全实验室在零日安全威胁与云安全技术方面的研究得到了业内的广泛认同并享有极高知名度。

官方网站：http://www.knownsec.com/