ClassCMS最新代码注入漏洞(CNVD-2024-49641、CVE-2024-12503)


ClassCMS是一款开源免费的网站内容管理系统,因其功能强大,操作简单,拥有海量用户。

国家信息安全漏洞共享平台于2024-11-25公布该程序存在代码注入漏洞。

漏洞编号:CNVD-2024-49641、CVE-2024-12503

影响产品:ClassCMS 4.8

漏洞级别:中

公布时间:2024-11-25

漏洞描述:该漏洞位于模型管理页面 /index.php/admin,攻击者可以利用该漏洞发起跨站脚本攻击,以获取敏感信息或劫持用户会话。

解决办法:

这个漏洞位于后台,因此非常危险。但解决方法也很简单:对后台做安全保护,未授权人员禁止访问

可以使用『护卫神·防入侵系统』的“网站后台保护”模块来解决该安全问题。同时该软件还能对SQL注入漏洞和跨站脚本漏洞进行防护,安全更有效。

1、网站后台保护

护卫神·防入侵系统』的“网站后台保护”模块,可以对后台等敏感文件做防护,未授权用户禁止访问(包括静态文件)。因为采用独立认证机制,即使网站程序有漏洞也能有效防护。如下图一,设置好后台地址和授权密码,当访问后台时,需要先验证授权密码(如图二),黑客肯定不知道密码的。同时该系统还能防SQL注入攻击和跨站脚本攻击(如图三)。

1.png

(图一:ClassCMS后台保护)

网站后台保护

(图二:访问后台需要验证授权密码)

xss攻击防护

(图三:SQL注入和跨站脚本攻击防护)

2、防篡改保护

如果对安全要求较高,还可以使用『护卫神·防入侵系统』系统的“篡改防护”模块,对ClassCMS做防篡改保护。

在“篡改防护-添加CMS防护”(如图四)。选择网站目录,安全模板选择“ClassCMS安全模板”,并填写正确的后台地址,点击“确定”按钮,就添加好了。

护卫神.防入侵系统内置有ClassCMS的篡改防护规则,只需简单设置即可解决,非常方便!

ClassCMS防篡改规则

(图四:添加ClassCMS防篡改规则)

原文:ClassCMS最新代码注入漏洞(CNVD-2024-49641、CVE-2024-12503)

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值