10秒后自動(dòng)關(guān)閉
ZZCMS存在SQL注入漏洞(CNVD-2024-43213、CVE-2024-10291)

ZZCMS是一款用于搭建招商網(wǎng)站的CMS系統(tǒng),由PHP語(yǔ)言開(kāi)發(fā)。


國(guó)家信息安全漏洞共享平臺(tái)于2024-11-06公布其存在SQL注入漏洞。

漏洞編號(hào):CNVD-2024-43213、CVE-2024-10291

影響產(chǎn)品:ZZCMS 2023

漏洞級(jí)別:

公布時(shí)間:2024-11-06

漏洞描述:漏洞位于源文件“/Ebak5.1/upload/phome.php”中的參數(shù)“phome”,缺少對(duì)外部輸入SQL命令的安全驗(yàn)證,黑客可利用該漏洞執(zhí)行SQL注入攻擊,篡改數(shù)據(jù)庫(kù)或拖庫(kù)等非法操作。


解決辦法:

準(zhǔn)確說(shuō),這個(gè)漏洞不是ZZCMS自身的注入漏洞,而是其自帶的Ebak(帝國(guó)備份王)存在的注入漏洞。解決起來(lái)也很簡(jiǎn)單:刪除 /Ebak5.1/ 目錄即可。

如果您不想刪除,則建議使用 護(hù)衛(wèi)神·防入侵系統(tǒng),自帶SQL注入防護(hù)功能,可有效攔截黑客SQL注入攻擊(效果如下圖)。

(攔截SQL注入效果圖)