10秒后自動關(guān)閉
漏洞文獻(xiàn):wtcms存在跨站腳本漏洞

wtcms是一套基于ThinkPHP的CMS系統(tǒng),用于幫助用戶快速搭建企業(yè)網(wǎng)站、門戶網(wǎng)站、個人博客或其他系統(tǒng)。


國家信息安全漏洞共享平臺于2024-11-14公布其存在跨站腳本漏洞。

漏洞編號:CNVD-2024-44825、CVE-2024-48239

影響產(chǎn)品:WTCMS v1.0

漏洞級別

公布時間:2024-11-14

漏洞描述:wtcms V1.0存在跨站腳本漏洞,該漏洞來源于文件 AssetController.class.php 的plupload方法中應(yīng)用程序參數(shù)未經(jīng)處理,不法分子可利用該漏洞注入執(zhí)行任意Web腳本或HTML。


解決辦法:

目前廠商已經(jīng)發(fā)布修復(fù)補丁,補丁詳情:https://www.cnvd.org.cn/patchInfo/show/618126

另外你也可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的SQL注入防護(hù)模塊來解決該漏洞,該模塊除了防SQL注入,還可以防護(hù)跨站腳本漏洞。



1、SQL注入防護(hù)和XSS跨站攻擊防護(hù)

護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊(如圖一)除了攔截SQL注入,還可以攔截xss跨站腳本,一并解決WTCMS的其他安全漏洞,攔截效果如圖三。


SQL注入防護(hù)模塊

(圖一:SQL注入防護(hù)模塊)



xss攻擊防護(hù)

(圖二:xss攻擊防護(hù))



SQL注入攔截效果

(圖三:SQL注入攔截效果)



2、防篡改保護(hù)

如果對安全要求較高,還可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護(hù)”模塊,對WTCMS做篡改保護(hù)。

在“篡改防護(hù)-添加CMS防護(hù)”(如圖四)。選擇網(wǎng)站目錄,安全模板選擇“WTCMS安全模板”,并填寫正確的后臺地址,點擊“確定”按鈕,就添加好了。

護(hù)衛(wèi)神.防入侵系統(tǒng)內(nèi)置有WTCMS的篡改防護(hù)規(guī)則,只需簡單設(shè)置即可解決,非常方便!

wtcms防篡改

(圖四:添加WTCMS防篡改規(guī)則)



設(shè)置好以后,防入侵系統(tǒng)就會對后臺進(jìn)行保護(hù),后期訪問時需要先驗證授權(quán)密碼(如圖五),只有輸入了正確的密碼才能訪問。

網(wǎng)站后臺保護(hù)

(圖五:訪問后臺需要輸入授權(quán)密碼)