10秒后自動關(guān)閉
SEMCMS存在SQL注入漏洞(CNVD-2024-39254、CVE-2024-46103)

SEMCMS外貿(mào)網(wǎng)站系統(tǒng)一套開源外貿(mào)企業(yè)網(wǎng)站管理系統(tǒng),有ASP和PHP兩個版本(是為數(shù)不多的ASP系統(tǒng),點個贊。,支持多種語言,主要用于外貿(mào)企業(yè),因其功能強大,操作使用簡單,擁有大量用戶。


國家信息安全漏洞共享平臺于2024-09-26公布其存在跨站腳本漏洞。

漏洞編號:CNVD-2024-39254、CVE-2024-46103

影響產(chǎn)品:SEMCMS(PHP) V4.8

漏洞級別

公布時間:2024-09-26

漏洞描述:該漏洞來自于后臺文件 SEMCMS_Main.php 缺少對外部輸入的SQL命令進行驗證,黑客可利用該漏洞執(zhí)行非法SQL命令,執(zhí)行篡改數(shù)據(jù)、拖庫等危險操作。


解決辦法:

SEMCMS_Main.php文件是后臺管理文件,我們可以從物理層面限定:只允許合法管理員進入后臺、進行SQL注入防護。通過兩步操作就可以徹底解決問題。

因此我們需要用到『護衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“網(wǎng)站后臺保護”和“SQL注入防護”來解決。


1、網(wǎng)站后臺保護

如下圖一,對后臺(/admin/)進行保護,后期訪問時需要先驗證授權(quán)密碼(如圖二),只有輸入了正確的密碼才能訪問。讓黑客根本接觸不到這個漏洞,自然也就無法入侵了!


網(wǎng)站后臺保護

(圖一:網(wǎng)站后臺保護設(shè)置)




網(wǎng)站后臺保護

(圖二:訪問后臺需要輸入授權(quán)密碼)



2、SQL注入攻擊防護

護衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護模塊(如圖三),攔截效果如圖四。


SQL注入防護模塊

(圖三:SQL注入防護模塊)



SQL注入攔截

(圖四:SQL注入攔截效果)



3、使用篡改防護,進一步提升安全

護衛(wèi)神·防入侵系統(tǒng)』的“篡改防護”模塊內(nèi)置有SEMCMS的防篡改策略,只需要在“篡改防護-添加CMS防護”,選擇“SEMCMS外貿(mào)網(wǎng)站系統(tǒng)(PHP版)安全模板”,就可以自動配置好防篡改規(guī)則,非常強大、方便。(如下圖五)


SEMCMS防篡改

(圖五:SEMCMS防篡改功能)