海洋CMS最新代码执行漏洞（CNVD-2024-44823、CVE-2024-42599）

最新推荐文章于 2025-11-10 17:39:42 发布

原创

最新推荐文章于 2025-11-10 17:39:42 发布 · 810 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#sql #数据库 #安全 #系统安全

SeaCMS（海洋CMS）是一款开源免费PHP影视系统，该系统主要用来管理视频点播资源，因其功能强大，操作使用简单，拥有大量用户。

国家信息安全漏洞共享平台于2024-11-14公布其存在跨站脚本漏洞。

漏洞编号：CNVD-2024-44823、CVE-2024-42599

影响产品：SeaCMS（海洋CMS） 13.0

漏洞级别：高

公布时间：2024-11-14

漏洞描述：SeaCMS 13.0版本存在代码执行漏洞，该漏洞源于对编辑文件的安全限制不到位，黑客可利用该漏洞绕过其安全规则写入代码，从而执行任意命令（如上传木马），获取网站管理权限，以及进一步获取服务器权限。

一句话说明：该CMS存在漏洞，黑客可以上传木马后门！

解决办法：

要防止黑客上传木马后门，需要使用防篡改技术，从系统底层驱动层面阻止黑客写入PHP木马，才能彻底解决问题。我们需要使用『护卫神·防入侵系统』系统的“篡改防护”，配置SeaCMS专用的篡改防护策略。

1、防篡改保护

使用『护卫神·防入侵系统』系统的“篡改防护-添加CMS防护”（如图一）。选择网站目录，安全模板选择“海洋CMS（SeaCMS）安全模板）”，并填写正确的后台地址，点击“确定”按钮，就添加好了。

护卫神.防入侵系统内置有SeaCMS（海洋CMS）的篡改防护规则，只需简单设置即可解决，非常方便！<

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

hwscom

关注关注

10
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

SeaCMS海洋影视管理系统 index.php SQL注入

iSee857的博客

08-24

920

海洋CMS是一套专为不同需求的站长而设计的内容管理系统，灵活、方便、人性化设计、简单易用是最大的特色，可快速建立一个海量内容的专业网站。海洋CMS基于PHP+MySql技术开发，完全开源免费、无任何加密代码。在index.php中存在SQL注入，导致未授权攻击者可利用该漏洞获取隐私数据。该漏洞已支持yakit插件检测，根据uuid 1ab73e21-fc16-4801-9588-3bbae2ad1418 进行下载。在Web应用防火墙中添加接口临时黑名单规则。

海洋CMS /js/player/dmplayer/dmku/ SQL注入漏洞复现(CVE-2024-29275)

0xSec

06-12

1634

海洋CMS影视管理系统 /js/player/dmplayer/dmku/ 接口存在SQL注入漏洞，未经授权攻击者可通过该漏洞获取数据库敏感信息，进一步利用可获取服务器权限，导致网站处于极度不安全状态。

参与评论您还未登录，请先登录后发表或查看评论

AWS + 海洋CMS：影视站长的高可用架构实践指南

最新发布

2401_84350246的博客

11-10

354

海洋CMS 是影视站圈的“老将”，而 AWS 则是让它焕发新生命的“底层引擎”。两者结合，就能让你告别封站、告别缓慢加载、告别数据丢失。不再是“堆机器”式的玩法，而是更安全、更可控、更长期的站群运营逻辑。

Seacms V12.9

weixin_65219040的博客

06-18

1416

通过定位file_get_contents()函数:找寻有可控变量的文件：进入后台这个页面：因为已经登入后台，所以找存储型的XSS，在扩展中添加广告，友情链接这些地方进行尝试：直接修改海洋cms名称，拼接js，存储型XSS：前台页面：尝试添加系统管理员：构造poc：在另一浏览器打开：网页打开admin_template.php，添加参数action=del&filedir=../templets/default/html/../../../test.php。设置打开这个网页就进行自动

seacms 远程命令漏洞执行（CNVD-2020-22721）

xy_wjyjw的博客

10-27

533

点击系统——后台IP安全设置（输入允许 IP：127.0.0.1）打开虚拟终端，输入命令dir /tmp，查看flag。利用漏洞的IP，用蚁剑连接漏洞，连接成功。点击Forward放包，发送到网站。进入bp的网站，并输入url地址。抓包成功，注入一句话密码。填入flag，成功通关。在bp中点击开始抓包。

WEB 漏洞：seacms 远程命令执行（CNVD-2020-22721）

2301_79118231的博客

10-27

902

注：个人笔记，并不全面，仅供参考。

seacms海洋cms漏洞

YouthBelief的博客

10-29

7660

seacms海洋cms漏洞前言一、seacms 远程命令执行（CNVD-2020-22721）0x01 漏洞描述0x02 漏洞利用拿shell总结前言海洋CMS一套程序自适应电脑、手机、平板、APP多个终端入口。一、seacms 远程命令执行（CNVD-2020-22721） 0x01 漏洞描述 SeaCMS v10.1存在命令执行漏洞，在w1aqhp/admin_ip.php下第五行使用set参数，对用户输入没有进行任何处理，直接写入文件。攻击者可利用该漏洞执行恶意代码，获取服务器权限。后台

SeaCMS（海洋CMS）存在MySQL慢查询漏洞（CNVD-2024-39253、CVE-2024-46640）

护卫神的博客

11-19

429

SeaCMS（海洋CMS）是一款开源免费PHP影视系统，因其功能强大，操作使用简单，拥有大量用户。国家信息安全漏洞共享平台于2024-09-26公布其存在MySQL慢查询漏洞。

精选资源

74CMS_6.0.48_远程命令执行_CNVD-2021-45280

02-22

本文为漏洞编号 CNVD-2021-45280 ，即 74CMS 远程命令执行漏洞利用工具源码内容文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！更...

铭飞CMS SQL注入漏洞复现(CNVD-2024-06148)

0xSec

04-30

1603

由于铭飞CMS文章列表接口content/list.do中的sqlWhere参数缺少对外部输入SQL语句的验证，未经身份验证的攻击者可利用该漏洞获取数据库敏感数据，进一步利用可获取服务器权限。

[阿一网络安全] fastjson 代码执行（CNVD-2019-22238）

Ayixy的博客

08-22

629

漏洞原理：漏洞利⽤FastJson autotype处理Json对象的时候，未对@type字段进⾏完整的安全性验证，攻击者可以传⼊危险类，并调⽤危险类连接远程RMI主机，通过其中的恶意类执⾏代码。攻击者通过这种⽅式可以实现远程代码执⾏漏洞，获取服务器敏感信息，甚⾄可以利⽤此漏洞进⼀步的对服务器数据进⾏操作。攻击流程：制作反弹Payload -> 开启HTTP服务 -> 启动LDAP服务 -> 监听EXP中端⼝ -> 执⾏Payload开启靶场，靶场成功运行。

海洋cms(海洋影视管理系统) v6.45

12-02

海洋影视管理系统（seacms，海洋cms）是一套专为不同需求的而设计的视频点播系统，灵活，方便，人性化设计简单易用是最大的特色，是快速架设视频网站首选，只需5分钟即可建立一个海量的视频讯息的行业网站。海洋cms采用PHP+MYSQL架构,原生PHP代码带来卓

泛微OA漏洞学习——E-Cology BshServlet 远程代码执行漏洞 CNVD-2019-32204

记录并分享学习安全的知识点..

07-10

2009

2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁，泛微e-cology OA系统的J**A Beanshell接口可被未授权访问，攻击者调用该Beanshell接口，可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行，漏洞等级严重。......

记一次海洋cms任意代码执行漏洞拿shell(url一句话)

Sea_Sand息禅

03-06

9036

实验环境：海洋CMS6.54(后续版本已该洞已补) 1、后台登录尝试这个站点是个测试站，站里没什么数据。进入admin.php，是带验证码的后台登录系统，没有验证码的可以用bp爆破。有验证码的也有一个爆破软件，可以识别验证码的，但是试了试用不了。后天失败。。。 2、网上搜集该CMS的漏洞刚才也说了，这个站没什么数据，都是空的，无上传点。百度搜索海洋CMS的漏洞，有好几...

seacms漏洞

2201_75544326的博客

03-03

488

海洋影视管理系统（seacms，海洋cms）是一套专为不同需求的站长而设计的视频点播系统，采用的是 php5.X+mysql 的架构，seacmsv9漏洞文件：./comment/api/index.php，漏洞参数：$rlist。

WEB漏洞之：海洋CMS代码执行（CNVD-2020-22721）

一位热爱网安的年轻人的博客

11-18

2162

web安全漏洞复现之：海洋cms远程代码执行

海洋cms漏洞——search.php

qq_40554015的博客

02-13

5517

在i春秋做CTF的题，有一道“百度杯”CTF比赛九月场的题叫做Test，是web类型。打开发现是海洋CMS：看到是cms，立马搜了一下海洋CMS漏洞，发现网上很多，主要是search.php存在漏洞。开始解题： 1.在查询栏随便点一个：看到这么一个url，可以构造一个payload：不是很清楚为什么······ 2.菜刀连接接下来就可以直接用菜刀连接了没有flag，应该在数据库中，找到search.php，打开看看：发现包含了common.php

海洋cms(海洋视频内容管理系统) v12.5 bulid220618

weixin_70215279的博客

08-20

821

爱趣漫画是一款有着海量漫画资源在内的特色阅读型手机应用，专门为广大喜欢看漫画的用户打造，致力于打造出一个属于我们的阅读天堂！软件采用了非常独特的分图模式，图像与和文字能够清晰的展现出来，大家在手机上也能舒适地阅览漫画。最后，软件还会每天实时更新，也就是不管什么时候我们都能够在里面看到最新的漫画资源，尤其是当我们将自己喜欢的漫画加入到书架之后，我们下次阅读起来也就要更加方便许多了。夜间模式可调节亮度、过滤番外、添加本地漫画、书签、自动播放等超多功能，等你来发现！去掉广告，页面简洁，想看啥就搜啥，非常方便。..

SeaCMS海洋影视管理系统远程代码执行漏洞复现

holyxp的博客

07-27

3762

所以就去到http://192.168.1.57/SeaCMS_12.9/Upload/install/index.php这个文件来进行安装操作，打开此url会出现下面的界面，然后点击右下角的开始。因为我们是直接在这里安装的，保存了我们的cookie所以我们就直接进来了，如果没有直接进来也不要紧，直接弱密码账户admin 密码admin就行了。很明显我们输入的双引号把变量前面的内容给闭合了，然后后面有双斜杠直接注释了后方的内容，所以就导致了我们利用蚁剑来正向shell。然后下面的随便填，就像这样子。

CNVD-2024-36533漏洞复现

09-04

首先，用户正在询问有关CNVD-2024-36533漏洞复现方法的信息。用户提供了他们对话历史中的三个引用，但这些是其他漏洞的示例：SeaCMS、用友NC和OpenSNS。用户说这些引用仅供参考，而不是他们的实际需求。关键点是...