據(jù)360網(wǎng)站安全檢測(cè)平臺(tái)披露，該平臺(tái)近期收到技術(shù)高手提交PHPCMS 2008高危漏洞信息，黑客可利用該漏洞入侵網(wǎng)站，任意篡改頁(yè)面、盜取用戶資料等。360第一時(shí)間通知了廠商，但廠商表示該版本已不再維護(hù)，將不推出補(bǔ)丁。考慮到很多網(wǎng)站因進(jìn)行過(guò)二次開(kāi)發(fā)無(wú)法立刻升級(jí)系統(tǒng)，360網(wǎng)站安全團(tuán)隊(duì)提供了臨時(shí)修復(fù)方案，推薦PHPCMS 2008的網(wǎng)站用戶使用，或者升級(jí)到最新版PHPCMS V9。

PHPCMS是國(guó)內(nèi)知名的CMS建站系統(tǒng)，擁有包括地方門(mén)戶、政府網(wǎng)站、教育網(wǎng)、企業(yè)官網(wǎng)等在內(nèi)的大量網(wǎng)站用戶。據(jù)360網(wǎng)站安全檢測(cè)平臺(tái)透露，PHPCMS 2008存在的漏洞為代碼執(zhí)行漏洞，360已發(fā)送告警郵件提醒受此漏洞影響的網(wǎng)站用戶，并為廣大站長(zhǎng)提供漏洞防護(hù)措施。

修復(fù)方案：

第一步：

根目錄下upload_field.php文件的
if($catid)
{
    $C = cache_read('category_'.$catid.'.php');
}

改成
if($catid)
{
    $C = cache_read('category_'.$catid.'.php');
}
else
{
    $C['upload_allowext']='';
}

第二步：

Include目錄下template.func.php文件template_parse 函數(shù)添加如下語(yǔ)句。

$str = preg_replace("/<\?php[\s\S]+?\?>|<\?[\s\S]+?\?>/i","",$str);