发布日期：2013-02-03
更新日期：2013-02-05

受影响系统：

phpCMS phpCMS <= 9

描述：

---

PHPCMS V9版于2010年推出，是应用较为广泛的建站工具。第三方数据显示，目前使用PHPCMS V9搭建的网站数量多达数十万个，包括联合国儿童基金会等机构网站，以及大批企业网站均使用PHPCMS V9搭建和维护。

所有使用PHPCMSV9搭建的网站均存在SQL注入漏洞，可能使黑客利用漏洞篡改网页、窃取数据库，甚至控制服务器。未启用ucenter服务的情况下，uc_key为空，define('UC_KEY', pc_base::load_config('system', 'uc_key'));deleteuser接口存在SQL注入漏洞。若MYSQL具有权限，可直接get webshell。

<*来源：anonymous
  
  链接：http://bbs.wolvez.org/viewtopic.php?id=256
*>

建议：

---

厂商补丁：

phpCMS
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.phpcms.de/

浏览次数：6243
严重程度：0（网友投票）