商业CMS再曝零天漏洞 众多政务系统面临严重威胁

　　近日，安恒信息安全研究员发现目前在国内政府、教育、公检法、医疗等部门使用率非常高的政务系统“OHOCMS”的多处漏洞，包括任意文件上传、任意文件删除、任意文件读取、多处SQL注入等高危漏洞可导致远程攻击者直接获取网站服务器控制权限。漏洞影响范围包含了最新版本的OHOCMS政务系统及以前的所有版本。

　　电子政务的信息安全，关系到国家安全与公民个人信息安全。经安恒信息的安全工程师进行安全排查发现该系统的漏洞覆盖了国内众多城市的政府门户以及公检法系统，安恒信息已及时将漏洞详细信息通报给欧虎官方，并提交给中国国家信息安全漏洞库CNNVD组织。同时，安恒信息安全研究院在进行多次测试和提炼后，与安恒研发团队共同完成了欧虎政务系统的产品检测与防御，目前安恒信息明御Web应用防火墙已经能够防御欧虎政务系统的SQL注入、文件上传、文件操作等漏洞，并提供了策略升级包，安恒信息将及时安排工作人员对相关客户进行升级。同时安恒信息明鉴 WEBSCAN扫描器也能及时探测出该系统这些漏洞。

　　安恒信息建议其他存在同样漏洞环境的用户关注欧虎官方的升级补丁，也可以与安恒信息主动联系(400-605-9110)，随时协助有需要的客户解决该问题。

　　2014年，安恒信息安全研究院发现并协助解决国内外各类商业性质的CMS系统漏洞累计106个，其中严重高危漏洞104个，并获得多个CVE漏洞编号，同时也是国家漏洞库的重要贡献者。