10秒后自動關(guān)閉
漏洞文獻:海洋CMS最新代碼執(zhí)行漏洞(CNVD-2024-44823、CVE-2024-42599)

SeaCMS(海洋CMS)是一款開源免費PHP影視系統(tǒng),該系統(tǒng)主要用來管理視頻點播資源,因其功能強大,操作使用簡單,擁有大量用戶。


國家信息安全漏洞共享平臺于2024-11-14公布其存在跨站腳本漏洞。

漏洞編號:CNVD-2024-44823、CVE-2024-42599

影響產(chǎn)品:SeaCMS(海洋CMS) 13.0

漏洞級別

公布時間:2024-11-14

漏洞描述:SeaCMS 13.0版本存在代碼執(zhí)行漏洞,該漏洞源于對編輯文件的安全限制不到位,黑客可利用該漏洞繞過其安全規(guī)則寫入代碼,從而執(zhí)行任意命令(如上傳木馬),獲取網(wǎng)站管理權(quán)限,以及進一步獲取服務(wù)器權(quán)限。

一句話說明:該CMS存在漏洞,黑客可以上傳木馬后門!


解決辦法:

要防止黑客上傳木馬后門,需要使用防篡改技術(shù),從系統(tǒng)底層驅(qū)動層面阻止黑客寫入PHP木馬,才能徹底解決問題。我們需要使用『護衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護”,配置SeaCMS專用的篡改防護策略。


1、防篡改保護

使用『護衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護-添加CMS防護”(如圖一)。選擇網(wǎng)站目錄,安全模板選擇“海洋CMS(SeaCMS)安全模板)”,并填寫正確的后臺地址,點擊“確定”按鈕,就添加好了。

護衛(wèi)神.防入侵系統(tǒng)內(nèi)置有SeaCMS(海洋CMS)的篡改防護規(guī)則,只需簡單設(shè)置即可解決,非常方便!

seacms防篡改

(圖一:添加SeaCMS防篡改規(guī)則)



設(shè)置好以后,防入侵系統(tǒng)就會對后臺進行保護,后期訪問時需要先驗證授權(quán)密碼(如圖二),只有輸入了正確的密碼或者登錄護衛(wèi)神防入侵管理面板才能訪問。

網(wǎng)站后臺保護

(圖二:訪問后臺需要輸入授權(quán)密碼)



2、SQL注入防護和XSS跨站攻擊防護

護衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護模塊(如圖三)除了攔截SQL注入,還可以攔截xss跨站腳本,一并解決SeaCMS的其他安全漏洞,攔截效果如圖五。


SQL注入防護模塊

(圖三:SQL注入防護模塊)


xss攻擊防護

(圖四:xss攻擊防護)



SQL注入攔截效果

(圖五:SQL注入攔截效果)