ClassCMS最新代码注入漏洞(CNVD-2024-49641、CVE-2024-12503)

最新推荐文章于 2025-06-09 21:11:05 发布
原创 最新推荐文章于 2025-06-09 21:11:05 发布 · 457 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #安全 #运维


ClassCMS是一款开源免费的网站内容管理系统,因其功能强大,操作简单,拥有海量用户。

国家信息安全漏洞共享平台于2024-11-25公布该程序存在代码注入漏洞。

漏洞编号:CNVD-2024-49641、CVE-2024-12503

影响产品:ClassCMS 4.8

漏洞级别:中

公布时间:2024-11-25

漏洞描述:该漏洞位于模型管理页面 /index.php/admin,攻击者可以利用该漏洞发起跨站脚本攻击,以获取敏感信息或劫持用户会话。

解决办法:

这个漏洞位于后台,因此非常危险。但解决方法也很简单:对后台做安全保护,未授权人员禁止访问

可以使用『护卫神·防入侵系统』的“网站后台保护”模块来解决该安全问题。同时该软件还能对SQL注入漏洞和跨站脚本漏洞进行防护,安全更有效。

1、网站后台保护

护卫神·防入侵系统』的“网站后台保护”模块,可以对后台等敏感文件做防护,未授权用户禁止访问(包括静态文件)。因为采用独立认证机制,即使网站程序有漏洞也能有效防护。如下图一,设置好后台地址和授权密码,当访问后台时,需要先验证授权密码(如图二),黑客肯定不知道密码的。同时该系统还能防SQL注入攻击和跨站脚本攻击(如图三)。

1.png

(图一:ClassCMS后台保护)

网站后台保护

(图二:访问后台需要验证授权密码)

xss攻击防护

(图三:SQL注入和跨站脚本攻击防护)

2、防篡改保护

如果对安全要求较高,还可以使用『护卫神·防入侵系统』系统的“篡改防护”模块,对ClassCMS做防篡改保护。

在“篡改防护-添加CMS防护”(如图四)。选择网站目录,安全模板选择“ClassCMS安全模板”,并填写正确的后台地址,点击“确定”按钮,就添加好了。

护卫神.防入侵系统内置有ClassCMS的篡改防护规则,只需简单设置即可解决,非常方便!

ClassCMS防篡改规则

(图四:添加ClassCMS防篡改规则)

原文:ClassCMS最新代码注入漏洞(CNVD-2024-49641、CVE-2024-12503)

铭飞CMS SQL注入漏洞复现(CNVD-2024-06148)
0xSec
04-30 1364
由于铭飞CMS文章列表接口content/list.do中的sqlWhere参数缺少对外部输入SQL语句的验证,未经身份验证的攻击者可利用该漏洞获取数据库敏感数据,进一步利用可获取服务器权限。
用友U8 Cloud ReleaseRepMngAction SQL注入漏洞复现(CNVD-2024-33023)(附脚本)
iSee857的博客
12-20 317
用友U8 Cloud在调用ReleaseRepMngAction 产生sql注入漏洞,该漏洞攻击者可以通过对接口参数进行特定的SQL请求构造实现注入,利用系统中SQL注入漏洞获取数据库中的敏感信息。
Class CMS 内容管理系统 v1.0
11-24
为您提供Class CMS 内容管理系统下载,ClassCMS是一款简单、灵活、安全、易于拓展的内容管理系统。特点:安全稳定,代码精简,安装包不到1M,没有多余的功能。兼容PHP5.2--PHP8.0。在APACHE、NGINX、IIS上都能使用。支持MySQLSQLite数据库。拥有几十种输入框,可以快速搭建各种类型的网站。可自定义栏目变量、文章字段、用户属性。搭配模型页面,可以自由建立栏目页面。拥有完善的应用插件机制,一切皆为应用。
ClassCMS2.4漏洞复现
zkaqlaoniao的博客
12-01 615
使用phpstudy2016搭建web环境,php版本为5.5安装CMS这里选择Mysql数据库进行安装用户名和密码都写默认的admin方便记忆输入完成后点击安装点击安装CMS的安装过程中有个报错忽略就好,登录不进后台的话刷新一下页面进入了ClassCMS的后台。
【2025版】最新的常见漏洞知识库,从零基础到精通,收藏这篇就够了!
最新发布
QIANDXX的博客
06-09 943
1、 一个众所周知的问题,Ajax直接请求普通文件存在跨域无权限访问的问题,甭管你是静态页面、动态网页、web服务、WCF,只要是跨域请求,一律不准。2、 不过我们又发现,Web页面上调用js文件时则不受是否跨域的影响(不仅如此,我们还发现凡是拥有"src"这个属性的标签都拥有跨域的能力,比如1、 Callback、.json关键字搜索2、 获取敏感信息3、 content-type不严谨,callback返回xss代码然后html解析,Content-Type: application/json。
ClassCMS1.3自解压任意文件上传漏洞分析
weixin_42508548的博客
11-24 3114
0x01 前言 之前在某CMS也接触过自解压导致任意文件上传的漏洞,只要对请求URL过滤不严谨,以及逻辑处理存在缺陷便可导致上传可控,直接一步获取服务器权限。本次通过分析ClassCMS源码,从原理上理解此类漏洞。代审小白,分析不到位请大佬们多多体谅。 0x02 环境搭建 1、首先准备phpstudy,这里使用的是2016版本的,php版本为5.6.27 2、部署cms源码 3、访问http://192.168.150.9/index.php进行安装 4、输入相应配置信息,安装
ClassCMS内容管理系统-PHP
06-20
ClassCMS是一款简单、灵活、安全、易于拓展的内容管理系统。 特点: 安全稳定,代码精简,安装包不到1M,没有多余的功能。 兼容PHP5.2--PHP8.0。 在APACHE、NGINX、IIS上都能使用。 支持MySQLSQLite数据库。 拥有几十种输入框,可以快速搭建各种类型的网站。 可自定义栏目变量、文章字段、用户属性。 搭配模型页面,可以自由建立栏目页面。 拥有完善的应用插件机制,一切皆为应用。 免费使用,无需授权。 ClassCMS 更新日志: v1.9 更新说明 bug修复 v1.8 更新说明 bug修复 v1.7 更新说明 bug修复,支持utf8mb4字符集,支持存储Emoji表情 v1.6 更新说明 bug修复 v1.5 更新说明 bug修复 v1.4 更新说明 bug修复 新增数据树形列表框 v1.3 更新说明 bug修复 兼容ipv6网址 v1.2 更新说明 bug修复 v1.1 更新说明 兼容PHP8 细节优化 bug修复
ClassCMS:开源网站统计系统的分析与应用
weixin_34718952的博客
09-11 1721
本文还有配套的精品资源,点击获取 简介:ClassCMS是一个开源的网站统计系统,旨在帮助管理员通过数据分析了解用户行为和优化网站内容。它可能包含多个类库和文件,如配置、图标、入口、缓存和上传管理等,以提供全面的统计解决方案。该系统遵守开源许可协议,允许用户查看、修改和自由分发源代码,适应各种网站统计需求,同时保障数据统计的稳定性和连续性。 1. 网站统计的重要性 ...
0x04 用友 U8 OA SQL注入漏洞CNVD-2024-33023)
weixin_43263566的博客
09-01 683
产品:U8 Cloud(用友推出的新一代云ERP)公开日期漏洞编号危害等级:高危漏洞描述:U8 Cloud 存在 SQL 注入漏洞,攻击者可利用此漏洞获取数据库中的敏感信息。受影响产品:U8 Cloud漏洞处置建议修复程序。
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具
11-07
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具。需要 Java1.8 环境,执行如下命令启动 HrmsTool 工具, -e 是加密, -d 是解密。 $ java -jar HrmsTool.jar Usage: java -jar HrmsTool.jar -e xxx java ...
紧急通告VMware vCenter高危漏洞CVE-2024-38812和CVE-2024-38813修复方案
我在Citrix、VMware、Veeam、微软和NVIDIA等领域拥有丰富经验的专业人士,专注于设计和维护虚拟化基础设施、实施备份与灾难恢复策略,致力于优化企业的IT环境。
09-19 2005
紧急通告VMware vCenter高危漏洞CVE-2024-38812和CVE-2024-38813修复方案
ClassCMS内容管理系统 1.5
04-30
ClassCMS是一款简洁灵活的开源内容管理系统,能非常方便的通过它快速开发各种网站应用,兼容PHP5.2-PHP8.0,在APACHE、NGINX、IIS上都能使用,默认支持MySQL SQLite两种数据库,支持上百万数据量,系统没多余的功能,整体安装包不到1M,拥有完善与灵活的应用插件机制,常用功能均可制作成应用插件,系统模板语言简单,只需要懂HTML+CSS即可制作简单的网站模板。ClassCMS 1.3 更新日志:2021-03-22bug修复。
某小型CMS漏洞复现审计
蚁景网安学院
11-01 640
根据数据包在IDEA全局搜索,定位到delete代码段。该方法接收三个参数:path、name 和 data,这些参数通过 \@RequestParam注解从请求中提取,并进行简单拼接,赋值给file对象,此时file对象代表实际的文件名称。
CMS系统漏洞分析溯源(第5题)——解题视频全过程
渗透测试
09-07 792
CMS系统漏洞分析溯源(第5题) 解题思路: 登陆页面>>>扫描后台地址>>>登陆地址>>>查看是否可以绕过>>>不可以的话>>>百度管理系统源码>>>分析源码>>>查看登陆页面>>>找到相关php文件>>>admin_name>>>浏览器添加cookie>>>直接访问带有漏洞php文件的页面>>&
ClassCMS2.4代码审计
weixin_45794666的博客
01-24 2165
ClassCMS2.4代码审计 前言 首发于先知社区:ClassCMS2.4代码审计 此次漏洞分析皆在本地测试,且漏洞已经提交至cnvd平台 漏洞url 需要后台管理员权限 http:///ClassCMS/admin666?do=shop:downloadClass&ajax=1 漏洞点 在后台的 管理->应用管理->应用下载处存在任意远程文件下载 先放掉第一个请求包 POST /admin666?do=shop:index&ajax=1&action=fileu
2024版】最新6款漏洞扫描工具来了!(附下载)看完这一篇就够了
热门推荐
VN520的博客
11-09 3万+
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,它的官方网站是:https://www.acunetix.com,我刚才看了一眼没有找到试用版下载链接,之前是有的,可以免费试用14天,当然你也可以去网上搜索破解版进行下载安装,有经济实力的朋友可以考虑购买正版软件,下图就是AWVS的主界面,里边还保存着我扫描过的两个站点,发现了4个高危漏洞,4个中危漏洞和20个低危漏洞
CMS文章采集接口:优化经验分享,内容介绍全解析
wanghui19880909的博客
11-01 690
本文由一位经验丰富的校长以自己的角度分享了CMS文章采集接口的使用心得和经验,内容分为七个方面进行介绍。1.了解CMS文章采集接口的作用作为一位校长,我深知校园内各类信息的重要性。CMS文章采集接口可以帮助我们快速、高效地采集各类文章信息,包括校园新闻、通知公告等。通过了解接口的作用
2023年最具威胁的25种安全漏洞(CWE TOP 25)
华为云官方博客
07-11 1156
CWE Top 25 是通过分析美国国家漏洞数据库(NVD)中的公共漏洞数据来计算的,以获取前两个日历年 CWE 弱点的根本原因映射。
2024常见漏洞类型汇总
资深程序员,曾自学JAVA,C#,如今从业于网安行业
03-27 675
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方优快云官方合作二维码免费领取哦,无偿分享!我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~:黑客&网络安全的渗透攻防。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值