115cms存在最新跨站脚本漏洞(CNVD-2024-46442、CVE-2024-11490)

最新推荐文章于 2025-08-23 18:11:22 发布
原创 最新推荐文章于 2025-08-23 18:11:22 发布 · 424 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #网络

115CMS是一个多模块智能建站系统,主要用于H5建站和APP建站,可帮用户快速搭建属于自己的移动网站。

国家信息安全漏洞共享平台于2024-11-28公布该插件存在跨站脚本漏洞。

漏洞编号:CNVD-2024-46442、CVE-2024-11490

影响产品:115CMS <=2024-08-07

漏洞级别:中

公布时间:2024-11-28

漏洞描述:国家信息安全漏洞共享平台并未公布漏洞详细位置,只说明115cms存在跨站脚本漏洞,不法分子可利用该漏洞注入执行任意Web脚本或HTML,可获取敏感信息或劫持用户会话。

解决办法:

截止目前厂商尚未发布修正补丁。可以使用『护卫神·防入侵系统』的SQL注入防护模块来解决该漏洞问题,该模块除了防SQL注入,还可以防跨站脚本漏洞。不止对该漏洞有效,对所有SQL注入和跨脚本漏洞都可以防护。

1、SQL注入防护和XSS跨站攻击防护

护卫神·防入侵系统』自带的SQL注入防护模块(如图一)除了拦截SQL注入,还可以拦截xss跨站脚本,一并解决ZZCMS的其他安全漏洞,拦截效果如图四。

(图一:SQL注入防护模块)

(图二:XSS跨站脚本攻击防护)

(图三:SQL注入拦截效果)

2、防篡改保护

如果对安全要求较高,还可以使用『护卫神·防入侵系统』系统的“篡改防护”模块,对115CMS做防篡改保护。

在“篡改防护-添加CMS防护”(如图五)。选择网站目录,安全模板选择“115CMS安全模板”,并填写正确的后台地址,点击“确定”按钮,就添加好了。

护卫神.防入侵系统内置有115CMS的篡改防护规则,只需简单设置即可解决,非常方便!

(图五:添加115CMS防篡改规则)

设置好以后,防入侵系统就会对后台进行保护,后期访问时需要先验证授权密码(如图六),只有输入了正确的密码才能访问。

 

原文:115cms存在最新跨站脚本漏洞(CNVD-2024-46442、CVE-2024-11490)

PbootCMS后台存储型XSS漏*洞复现 CVE-2020-20363
afei001
10-05 1603
PbootCMS是PbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 存在跨站脚本漏洞,该漏洞源于产品的admin.php页面未对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
115一键转存.user_115一键转存.user_115转存脚本_115一键转存_115转存脚本_115转存_
10-01
115一键转存脚本,脚本能一键创建链接,下载链接。分享链接.
115cms综合内容管理系统-PHP
06-20
115cms综合内容管理系统是一款采用当前最流行的ThinkPHP框架开发的高效开源的内容管理系统。本产品完全采用模块化开发,插件主题功能,增加了程序的维护性、可扩展性,使二次开发变得简单、容易,系统设计的模板标签,让前端人员可独立完成模板制作及数据调用。 系统设计的模板标签,让前端人员可独立完成模板制作及数据调用,后台管理员可自定义模型功能,不会编程就实现各种信息发布和检索。 本产品源码简洁、严谨、安全、高效、源码100%开源,作者用心优化每一行代码,减少冗余,给用户的第一感觉就是“快”,程序运行快、加载快、效率高、轻量级!!!。 115cms综合内容管理系统集成实用功能如下: 基本设置 配置上传文件七牛云 生成缩略图 可设置高宽 会员注册 找回密码 积分经验控制 邮箱配置 用户可自定义全局 模型管理 可自由添加模型管理数据简单  自由添加模型字段 内置了附件上传 单行输入 文本域  选择框 选项框 时间类等  其他后期会陆续添加 万能的广告管理可随意插入 填写显示到期时间方可隐藏 单页管理可自由创建页面 可设置seo优化别名等 可设置评论积分 没有每一个用户能评论的数量上限 可设置评论邮件通知 附件管理可对附件进行下载删除等 会员管理 积分记录 前台会员权限组 后台会员权限组 系统消息 可给某一个用户发消息等 可添加系统管理员 可以控制该管理的权限访问 集成插件模板等 可在线执行SQL 登录日志 备份SQL 恢复SQL 等等其他,喜欢的可以下载自行测试 最后安装条件安装环境:Apache + PHP7.0 + MySQL5.5以上 最佳 php版本不能高于7.0以上或者低于5.6 115cms综合内容管理系统 v4.0 更新日志: 全新风格不兼容4.0及以下的模板插件 !更新主要是插件及模板更加的容易制作,没有那么复杂。 新增众多主题 新增插件颜色及时间选择器, 新增模板颜色及时间选择器, 新增随机关键字标签 新增模板缓存使用方法社区查看 新增手机版本模板启动自由组合 新增模板支持自定义控制器方法, 新增上传木马自动检测 新增预埋钩子[挂载点]覆盖所有 修复注册登录存在绕过验证码 修复启动手机版模板配置错误问题 新增评论排行标签 新增收藏排行调用标 115cms综合内容管理系统 v4.02 更新日志: 修复友情链接添加编辑无法选择到期时间 修复注册登录及找回密码文件独立 修复收藏错误 修复个人中心模型内容显示异常 新增模板可创建自定义字段配置目前支持,附件上传 单选框 选择框 输入框 文本域 密码框 附件 颜色 时间 多选等 新增内容可查看对应的分类 新增模型独立分类 创建字段及删除字段 新增会员主页显示投稿的模型数据 新增多模型数据用户可收藏点赞及评论 新增模型独立主页独立分类独立页面,无限创建 新增点赞收藏同步到当前模型  115cms综合内容管理系统 v4.03 更新日志: 新增模型配置中文显示 新增模板更多配置 新增模板支持自定义url配置 新增模型首页列表内容在当前模板自定义文件 115cms综合内容管理系统 v4.05 更新日志: 1.新增删除模型同事删除该模型下的评论及收藏 2.新增文章和模型文章能快速隐藏显示 3.新增分类显示当前的分类ID 4.新增当前模型没有分类隐藏分类选择 5.修复后台一些快捷链接的错误 6.新增功能设置选项方便以后升级功能配置 7.新增开关注册验证 8.新增自定义模型搜索模板
115RenamePlus:115日本影片重命名脚本
05-06
115RenamePlus 修改自 和 使用前提 必须在浏览器扩展中安装使用。 支持搜索4个站点,需要保证浏览器能正常访问到。(特别是mgstage,需要先访问一次网站,把是否满18岁的提示通过以后,才能正常使用) 功能 右击文件夹或文件,点击站点选项,自动重命名。 尽量使用视频改名avmoo+javbus:由于javbus搜索引擎排序偶尔有误、avmoo演员名不全,所以用avmoo匹配编号之后,在javbus获取详细信息。 格式化视频分段: 由于为了防止与-C中文字幕格式冲突,识别多集视频时没考虑-A、-B、-C这种格式。当影片原有分段格式是-A、-B、-C这种类型时,需要先点此选项格式化分段为_P1 _P2 _P3后,再刷新网页,选择其他改名选项。 支持多选。 支持javbus、avmoo、FC2、mgstage 。 改名后的格式为: 编号-4k-C_集数 演员们 标题 发行日 例
115cms综合内容管理系统 v2.0
SEO资源下载
01-30 245
介绍 115cms综合内容管理系统是一款采用当前最流行的ThinkPHP框架开发的高效开源的内容管理系统。本产品完全采用模块化开发,插件主题功能,增加了程序的维护性、可扩展性,使二次开发变得简单、容易,系统设计的模板标签,让前端人员可独立完成模板制作及数据调用。 系统设计的模板标签,让前端人员可独立完成模板制作及数据调用,后台管理员可自定义模型功能,不会编程就实现各种信息发布和检索。 本产品源码简洁、严谨、安全、高效、源码100开源,作者用心优化每一行代码,减少冗余,给用户的第一感觉就是“快”,程序运行快、
115 JS(javascript)
wang_luwei的博客
08-04 1090
文章目录一、引言1.1 JavaScript 简介1.1.1 前端三要素1.2 JavaScript组成部分1.3 JavaScript 发展史1.4JavaScript环境搭建二、JavaScript基本语法2.1变量声明2.2基本类型2.3引用类型2.4数组类型2.5运算符逻辑运算关系运算单目运算:自增自减双目运算符三目运算符:?:2.6条件分支结构2.7循环结构2.8函数【重点】2.9常见弹窗函数2.10事件2.11正则表达式三、JavaScript的DOM对象【重点】3.1概述3.2查找HTML元素
海洋CMS最新代码执行漏洞CNVD-2024-44823、CVE-2024-42599)
护卫神的博客
12-06 784
SeaCMS 13.0版本存在代码执行漏洞,该漏洞源于对编辑文件的安全限制不到位,黑客可利用该漏洞绕过其安全规则写入代码,从而执行任意命令(如上传木马),获取网站管理权限,以及进一步获取服务器权限。
ZZCMS2023存在跨站脚本漏洞CNVD-2024-44822、CVE-2024-44818)
护卫神的博客
12-09 674
ZZCMS是一款用于搭建招商网站的CMS系统,由PHP语言开发,可快速搭建:医药招商、保健品招商、化妆品招商、农资招商、孕婴童招商、酒类副食类等招商网站。国家信息安全漏洞共享平台于2024-11-14公布其存在跨站脚本漏洞
精选资源
CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner:CNVD-2020-10487 CVE-2020-1938,扫描仪工具
03-20
从8009.txt中筛选出符合裂缝的网址,放置于vul.txt中最后vul.txt中存在的域名即为含有漏洞的域名亲测补天公益src有上百站点,教育src大概三百站点包含此突破 4,测试 拿到CNVD-2020-10487-Tomcat-Ajp-lfi.py测
apache相关漏洞
m0_48520508的博客
09-30 4374
CVE-2019-17564-Apache Dubbo反序列化漏洞 CVE-2020-1938-Apache Tomcat文件包含漏洞 CVE-2020-1948-Apache Dubbo反序列化漏洞 CVE-2020-1956-Apache Kylin远程命令执行漏洞 CVE-2020-9480-Apache Spark远程代码执行漏洞 CVE-2020-9483-Apache SkyWalkingSQL注入漏洞
115转存助手魔改 转存提取全修复
04-15
115转存助手魔改 转存提取全修复,油猴脚本
使用 Cloud Media Sync:基于 115 网盘生成 STRM 文件,实现 Emby 云端媒体同步与 302 直连播放
u014688024的博客
01-02 9515
今天给大家分享一个实用的云端媒体库同步工具cloud-media-syncCMS,现在115网盘直接扫库会风控,所以这个工具主要就是监控115文件夹事件,生成emby可以识别的strm文件,避免了直接对网盘中媒体信息进行刮削,有效规避了封禁风险,还支持增量,支持emby302。全量同步增量同步(全自动,依赖115生活事件,也就是说你必须打开最近记录)监控上传(只上传emby生成的标准格式的媒体图片)
开源php内容管理系统框架,115cms综合内容管理系统v2.2 ThinkPHP框架开发+开源内容管理系统+可自定义全局...
weixin_39647499的博客
03-17 346
115cms 综合内容管理系统是一款采用当前最流行的 ThinkPHP 框架开发的高效开源的内容管理系统。本产品完全采用模块化开发,插件主题功能,增加了程序的维护性、可扩展性,使二次开发变得简单、容易,系统设计的模板标签,让前端人员可独立完成模板制作及数据调用。系统设计的模板标签,让前端人员可独立完成模板制作及数据调用,后台管理员可自定义模型功能,不会编程就实现各种信息发布和检索。 本产品源码简洁...
【免费下载】 115-strm:一键生成下载目录树和strm文件,提升你的媒体管理体验
gitblog_00277的博客
04-07 1753
115-strm:一键生成下载目录树和strm文件,提升你的媒体管理体验 在数字媒体管理领域,如何高效地整理和播放网盘中的音乐和视频,一直是用户关注的焦点。115-strm开源项目正是为了解决这一痛点而诞生。以下,我们将详细介绍115-strm的核心功能、技术架构、应用场景及项目特点,帮助用户更好地了解和使用这一工具。 项目介绍 115-strm项目通过读取115网盘生成的目录树,自动生成strm...
115Master 项目安装与配置指南
gitblog_00750的博客
04-07 1161
115Master 项目安装与配置指南 1. 项目基础介绍 115Master 是一个开源的 Tampermonkey 脚本,旨在提升 115 网盘的浏览体验。它为用户提供了文件预览、视频缩略图、一键唤起播放器等功能,使得用户在浏览和下载文件时更加方便快捷。 主要编程语言:TypeScript 和 Vue 2. 项目使用的关键技术和框架 Tampermonkey:用于在用户浏览器中运行 Java...
【免费下载】 115转存助手UI优化版3.9.1:提升文件管理效率的利器
gitblog_09763的博客
09-05 6551
115转存助手UI优化版3.9.1:提升文件管理效率的利器 【下载地址】115转存助手UI优化版3.9.1-网友魔改版 欢迎使用115转存助手UI优化版3.9.1,这是一款由热心网友基于原版程序深度魔改而来的增强工具。本版本专注于提升用户体验,进行了全面的UI优化,确保在使用过程中更加顺畅直观。此外,特别针对转存和提取功...
115:// 开头的链接如何一键转存
热门推荐
jw727105937的博客
09-08 27万+
文字教程 1.登录115.com,下载115浏览器并安装; 2.在115浏览器地址栏输入:chrome://extensions/ 进入扩展中心,搜索Tampermonkey,安装对应插件; 3.在115浏览器地址栏输入: 油猴脚本:https://greasyfork.org/en/scripts/386724-115一键转存 进入【115转存插件】界面,点击安装; 4.安装完成后,点击链接任务,会出现【转存】框(没有出现就重启一下浏览器),添加115sha1链接后,点击【转存】键,资源就会转存到【文件】
【亲测免费】 推荐开源项目:SevenSha1UIAdvancedHelper - 智能115助手
gitblog_00019的博客
05-12 743
推荐开源项目:SevenSha1UIAdvancedHelper - 智能115助手 1、项目介绍 SevenSha1UIAdvancedHelper 是一款专为115.com用户打造的智能助手扩展,它优化了转存和提取文件的过程,大大提升了效率。这款Chrome浏览器的Tampermonkey脚本可以帮助用户快速获取文件的SHA1链接,并进行自动化转存,解决了传统方式中操作繁琐的问题。 2、项目技...
资源界天花板,115网盘用户福利!极空间NAS部署『Nullbr115
qq_63499861的博客
08-23 4041
今天的这个项目我个人已经体验了好几天,资源不管是数量还是质量确实非常不错,而且在我体验的这些天,也确实如作者所说做到了天天更新。不过也不知道是不是我个人网络原因,整体给我的体验不太流畅,而且在线播放也没有成功打开,原因还在摸索中。不过瑕不掩瑜,毕竟它支持115网盘一键转存与ed2k/磁力离线下载,不管是配合极空间的网盘挂载,还是直接使用下载套件或迅雷保存到本地硬盘,都能直接交给极影视托管与整理,整体体验倒还是很安逸的!
CNVD-2024-36533漏洞复现
最新发布
09-04
首先,用户正在询问有关CNVD-2024-36533漏洞复现方法的信息。用户提供了他们对话历史中的三个引用,但这些是其他漏洞的示例:SeaCMS、用友NC和OpenSNS。用户说这些引用仅供参考,而不是他们的实际需求。 关键点是...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值