10秒后自動(dòng)關(guān)閉
DedeCMS最新注入漏洞(CNVD-2024-44514、CVE-2024-9076)

DedeCms系統(tǒng)(織夢系統(tǒng))是一套PHP開發(fā)的網(wǎng)站管理系統(tǒng),因其功能強(qiáng)大,操作使用簡單,具有非常高的知名度,擁有大量用戶。


國家信息安全漏洞共享平臺(tái)于2024-11-07公布其存在跨站腳本漏洞。

漏洞編號(hào):CNVD-2024-44514、CVE-2024-9076

影響產(chǎn)品:DeDeCMS <=5.7.115

漏洞級(jí)別

公布時(shí)間:2024-11-07

漏洞描述:該注入漏洞來自于后臺(tái)文件 article_string_mix.php 未能正確過濾構(gòu)造命令特殊字符、命令等。黑客可利用該漏洞執(zhí)行任意命令,進(jìn)行篡改數(shù)據(jù)、拖庫等危險(xiǎn)操作。


解決辦法:

article_string_mix.php文件是后臺(tái)管理文件,我們可以從物理層面限定:只允許合法管理員進(jìn)入后臺(tái)進(jìn)行SQL注入防護(hù)。通過兩步操作就可以徹底解決問題。

因此我們需要用到『護(hù)衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“網(wǎng)站后臺(tái)保護(hù)”和“SQL注入防護(hù)”來解決。


1、網(wǎng)站后臺(tái)保護(hù)

如下圖一,使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』對后臺(tái)(/admin/)進(jìn)行保護(hù),后期訪問時(shí)需要先驗(yàn)證授權(quán)密碼(如圖二),只有輸入了正確的密碼才能訪問。讓黑客根本接觸不到這個(gè)漏洞,自然也就無法入侵了!


網(wǎng)站后臺(tái)保護(hù)

(圖一:網(wǎng)站后臺(tái)保護(hù)設(shè)置)




網(wǎng)站后臺(tái)保護(hù)

(圖二:訪問后臺(tái)需要輸入授權(quán)密碼)



2、SQL注入攻擊防護(hù)

護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊(如圖三),攔截效果如圖四。


SQL注入防護(hù)模塊

(圖三:SQL注入防護(hù)模塊)



SQL注入攔截

(圖四:SQL注入攔截效果)



3、使用篡改防護(hù),進(jìn)一步提升安全

護(hù)衛(wèi)神·防入侵系統(tǒng)』的“篡改防護(hù)”模塊內(nèi)置有DEDECMS的防篡改策略,只需要在“篡改防護(hù)-添加CMS防護(hù)”,選擇“DEDECMS(織夢)安全模板”,就可以自動(dòng)配置好防篡改規(guī)則,非常強(qiáng)大、方便。(如下圖五)


dedecms防篡改

(圖五:DEDECMS防篡改功能)