360网站安全独家协助CmsTop修复高危漏洞

凌羽璇 · 发表于 2013-10-24 00:49:06

　　近日，360网站安全“库带计划”接到技术高手报告称，发现CmsTop大众版存在SQL注入高危漏洞并提交了该漏洞，360网站安全工程师进一步分析发现，CmsTop媒体版也存在该漏洞，可被攻击者利用获取数据库任意数据，恶意篡改数据，甚至造成“拖库”等威胁。鉴于漏洞影响严重，360已第一时间告知CmsTop官方，并向360网站安全检测平台的网站用户发出漏洞警报。
　　
　　CmsTop是国内领先的媒体网站内容管理系统（CMS），主要服务于网络媒体、报业、杂志、广电、政府和大中型企业等，是国内知名的建站系统之一，《参考消息》、《三联生活周刊》、经济观察网、证券时报网、荆楚网等近百家知名媒体网站均采用的是CmsTop搭建。
　　
　　
　　
　　图：CmsTop典型客户案例（来源于CmsTop官网）
　　
　　据了解，安全技术高手在分析CmsTop大众版源码时发现，该系统存在SQL注入（盲注）高危漏洞，可被攻击者用来获取数据库任意数据，恶意篡改数据，甚至“拖库”等。经过反复验证发现，CmsTop媒体版也存在该漏洞。随后，360网站安全检测平台第一时间联系了CmsTop官方，同时发送告警邮件提醒360网站安全产品用户，并将在官方补丁上线后增加相应防护规则，为广大站长第一时间提供漏洞防护措施。
　　
　　
　　
　　图：漏洞危害验证
　　
　　由于广大CmsTop网站用户均受该漏洞影响，360网站安全专家建议受影响的网站用户立刻联系CmsTop官方，下载最新的升级补丁。或者使用360网站安全检测（webscan.360.cn）免费为网站进行安全检查，及时修复漏洞防御黑客攻击。
　　
　　为了保护广大网站安全，提升360网站安全防御漏洞的能力，360网站安全于今年3月份推出“库带计划”，以奖金悬赏技术高手提交安全漏洞。目前，“库带计划”已经受到众多安全技术高手的支持，协助ShopEx、Discuz！、ECShop、ShopEX、PHPWind、PHPCMS等数十余个知名建站系统修复漏洞，保护了百万级网站降低了被黑客攻击的风险。
　　
　　360网站安全总监赵武表示，“库带计划”能够帮助大多数建站程序都能快速修复漏洞，及时推出补丁保护网站用户的数据安全。他同时表示，面对日益泛滥网站攻击威胁，广大站长可以部署免费的“360网站卫士”，既可以有效防范黑客攻击，更能够为网站访问加速等实用功能。
　　

		自动登录	找回密码
密码			会员注册

[交流] 360网站安全独家协助CmsTop修复高危漏洞