PHPCMS v9曝上传漏洞 知道创宇提供临时补丁

近日，国内著名第三方漏洞报告平台wooyun网曝光了PHPCMS v9的一个上传漏洞（http://www.wooyun.org/bugs/wooyun-2013-019299），并公布了该漏洞攻击程序，攻击者可以通过该漏洞直接上传网站木马控制服务器，最终导致网站“脱库”、“挂马”等严重后果。知道创宇安全研究团队分析发现，到本文发布日期为止，官方还没有发布针对该漏洞的任何防御补丁，是一个高危“0day”漏洞。知道创宇安全研究团队已积极联系官方，请各位站长密切关注官方动态，同时复查网站安全状态，启用临时安全补丁（详见下）。

黑客通过该上传漏洞可执行任意代码

关于PHPCMS
PHPCMS网站管理系统是国内主流CMS系统之一，曾多次被新浪、网易、电脑报等IT媒体报道。已有数万网站的应用规模，拥有政府、 企业、科研教育和媒体等各个行业领域近千名商业用户。  
官方网站：http://www.phpcms.cn/

漏洞分析
知道创宇安全研究人员发现，该漏洞主要原因是在上传文件，对上传的文件后缀进行安全限制时，考虑不全，导致在web服务器为apache的情况下绕过安全限制。
主要代码在文件\phpcms\libs\functions\global.func.php中的fileext函数 进行文件后缀提取：

function fileext($filename) { return strtolower(trim(substr(strrchr($filename, '.'), 1, 10)));}
攻击者可以通过使用/1.thumb_.Php.JPG%20%20%20%20%20%20%20Php方式绕过，这样取出来的后缀名为jpg，是合法的.直接绕过phpcms\modules\attachment\attachments.php中的一系列对上传文件后缀的安全限制。而由于apache的文件名解析特性导致上传文件里php代码最终被解析执行。


临时补丁
可以暂时将文件phpcms\modules\attachment\attachments.php的第104行改为：
if(is_image($_GET['file'])== false || strpos(strtolower($_GET['file']),'.php')!==false) exit();


漏洞概要
缺陷编号： WooYun-2013-19299
漏洞标题： PHPCMS v9 Getshell（Apache）
相关厂商： phpcms
漏洞作者： n3wF
提交时间： 2013-02-27 23:17
公开时间： 2013-03-04 23:17
漏洞类型： 文件上传导致任意代码执行
危害等级： 高自评Rank： 15
漏洞状态： 漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源： http://www.wooyun.org

相关链接：
http://www.wooyun.org/bugs/wooyun-2010-019299
http://www.it0527.com/thread-9654-1-1.html