近日，国家信息安全漏洞共享平台（CNVD）收录了PHP存在任意文件上传漏洞（CNVD-2017-04180）。远程攻击者可利用前台注册功能上传任意图片木马文件，获得网站的控制权限。 一、漏洞情况分析PHPCMS采用PHP5+MYSQL做为技术基础进行开发，是一款网站建站系统，该系统采用模块化开发，支持多种分类方式，使用它可方便实现个性化网站的设计、开发与维护。PHPCMS V9.6 WAP模块对前台用户上传的文件扩展名过滤不严，导致存在任意文件上传漏洞，远程攻击者通过注册功能，使用#截断绕过对文…