10秒后自動(dòng)關(guān)閉
ClassCMS最新代碼注入漏洞(CNVD-2024-49641、CVE-2024-12503)

ClassCMS是一款開源免費(fèi)的網(wǎng)站內(nèi)容管理系統(tǒng),因其功能強(qiáng)大,操作簡(jiǎn)單,擁有海量用戶。


國(guó)家信息安全漏洞共享平臺(tái)于2024-11-25公布該程序存在代碼注入漏洞。

漏洞編號(hào):CNVD-2024-49641、CVE-2024-12503

影響產(chǎn)品:ClassCMS 4.8

漏洞級(jí)別

公布時(shí)間:2024-11-25

漏洞描述:該漏洞位于模型管理頁面 /index.php/admin,攻擊者可以利用該漏洞發(fā)起跨站腳本攻擊,以獲取敏感信息或劫持用戶會(huì)話。


解決辦法:

這個(gè)漏洞位于后臺(tái),因此非常危險(xiǎn)。但解決方法也很簡(jiǎn)單:對(duì)后臺(tái)做安全保護(hù),未授權(quán)人員禁止訪問

可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的“網(wǎng)站后臺(tái)保護(hù)”模塊來解決該安全問題。同時(shí)該軟件還能對(duì)SQL注入漏洞和跨站腳本漏洞進(jìn)行防護(hù),安全更有效。


1、網(wǎng)站后臺(tái)保護(hù)

護(hù)衛(wèi)神·防入侵系統(tǒng)』的“網(wǎng)站后臺(tái)保護(hù)”模塊,可以對(duì)后臺(tái)等敏感文件做防護(hù),未授權(quán)用戶禁止訪問(包括靜態(tài)文件)。因?yàn)椴捎锚?dú)立認(rèn)證機(jī)制,即使網(wǎng)站程序有漏洞也能有效防護(hù)。如下圖一,設(shè)置好后臺(tái)地址和授權(quán)密碼,當(dāng)訪問后臺(tái)時(shí),需要先驗(yàn)證授權(quán)密碼(如圖二),黑客肯定不知道密碼的。同時(shí)該系統(tǒng)還能防SQL注入攻擊和跨站腳本攻擊(如圖三)。


1.png

(圖一:ClassCMS后臺(tái)保護(hù))



網(wǎng)站后臺(tái)保護(hù)

(圖二:訪問后臺(tái)需要驗(yàn)證授權(quán)密碼)



xss攻擊防護(hù)

(圖三:SQL注入和跨站腳本攻擊防護(hù))



2、防篡改保護(hù)

如果對(duì)安全要求較高,還可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護(hù)”模塊,對(duì)ClassCMS做防篡改保護(hù)。

在“篡改防護(hù)-添加CMS防護(hù)”(如圖四)。選擇網(wǎng)站目錄,安全模板選擇“ClassCMS安全模板”,并填寫正確的后臺(tái)地址,點(diǎn)擊“確定”按鈕,就添加好了。

護(hù)衛(wèi)神.防入侵系統(tǒng)內(nèi)置有ClassCMS的篡改防護(hù)規(guī)則,只需簡(jiǎn)單設(shè)置即可解決,非常方便!

ClassCMS防篡改規(guī)則

(圖四:添加ClassCMS防篡改規(guī)則)