这个顶级CMS存在重大安全漏洞可能会影响数百万个网站

专家警告说，顶级开源内容管理系统(CMS)PHPFusion存在多个漏洞，可能使无数网站面临风险。

发现这些缺陷的Synopsys研究人员在一份报告中将其中一个漏洞描述为经过身份验证的本地文件包含缺陷，目前跟踪为CVE-2023-2453。如果黑客可以将恶意php文件上传到目标系统上的已知路径，则该缺陷将允许他们在远程端点上运行任意代码。

第二个漏洞是CMS中的一个中等严重程度的错误，允许威胁参与者读取文件并将其写入任意位置。此漏洞的编号为CVE-2023-4480。研究人员补充说，9.10.30之前的所有PHPFusion版本都容易受到攻击，并表示没有可用的补丁。更糟糕的是，人们似乎没有兴趣修复这些缺陷。

在代表Synopsys发送给TechRadarPro的通知电子邮件中，据称目前“没有可用的补丁来修复该漏洞，该团队也不知道项目所有者有任何创建补丁的计划。”

该开源CMS于2003年构建。从那时起，它就获得了广泛的认可，积累了约1500万的强大用户群(根据网站数据)。DarkReading报告称，许多中小型企业使用它来创建在线论坛、社区驱动的网站等。

研究人员补充说，为了安全起见，最好通过管理窗格禁用“论坛”Infusion，因为他们知道在某些情况下这会关闭整个网站。