10秒后自動關(guān)閉
DedeCMS最新注入漏洞(CNVD-2024-44514、CVE-2024-9076)

DedeCms系統(tǒng)(織夢系統(tǒng))是一套PHP開發(fā)的網(wǎng)站管理系統(tǒng),因其功能強大,操作使用簡單,具有非常高的知名度,擁有大量用戶。


國家信息安全漏洞共享平臺于2024-11-07公布其存在跨站腳本漏洞。

漏洞編號:CNVD-2024-44514、CVE-2024-9076

影響產(chǎn)品:DeDeCMS <=5.7.115

漏洞級別

公布時間:2024-11-07

漏洞描述:該注入漏洞來自于后臺文件 article_string_mix.php 未能正確過濾構(gòu)造命令特殊字符、命令等。黑客可利用該漏洞執(zhí)行任意命令,進行篡改數(shù)據(jù)、拖庫等危險操作。


解決辦法:

article_string_mix.php文件是后臺管理文件,我們可以從物理層面限定:只允許合法管理員進入后臺進行SQL注入防護。通過兩步操作就可以徹底解決問題。

因此我們需要用到『護衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“網(wǎng)站后臺保護”和“SQL注入防護”來解決。


1、網(wǎng)站后臺保護

如下圖一,使用『護衛(wèi)神·防入侵系統(tǒng)』對后臺(/admin/)進行保護,后期訪問時需要先驗證授權(quán)密碼(如圖二),只有輸入了正確的密碼才能訪問。讓黑客根本接觸不到這個漏洞,自然也就無法入侵了!


網(wǎng)站后臺保護

(圖一:網(wǎng)站后臺保護設(shè)置)




網(wǎng)站后臺保護

(圖二:訪問后臺需要輸入授權(quán)密碼)



2、SQL注入攻擊防護

護衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護模塊(如圖三),攔截效果如圖四。


SQL注入防護模塊

(圖三:SQL注入防護模塊)



SQL注入攔截

(圖四:SQL注入攔截效果)



3、使用篡改防護,進一步提升安全

護衛(wèi)神·防入侵系統(tǒng)』的“篡改防護”模塊內(nèi)置有DEDECMS的防篡改策略,只需要在“篡改防護-添加CMS防護”,選擇“DEDECMS(織夢)安全模板”,就可以自動配置好防篡改規(guī)則,非常強大、方便。(如下圖五)


dedecms防篡改

(圖五:DEDECMS防篡改功能)