10秒后自動關閉
ClassCMS最新代碼注入漏洞(CNVD-2024-49641、CVE-2024-12503)

ClassCMS是一款開源免費的網(wǎng)站內(nèi)容管理系統(tǒng),因其功能強大,操作簡單,擁有海量用戶。


國家信息安全漏洞共享平臺于2024-11-25公布該程序存在代碼注入漏洞。

漏洞編號:CNVD-2024-49641、CVE-2024-12503

影響產(chǎn)品:ClassCMS 4.8

漏洞級別

公布時間:2024-11-25

漏洞描述:該漏洞位于模型管理頁面 /index.php/admin,攻擊者可以利用該漏洞發(fā)起跨站腳本攻擊,以獲取敏感信息或劫持用戶會話。


解決辦法:

這個漏洞位于后臺,因此非常危險。但解決方法也很簡單:對后臺做安全保護,未授權人員禁止訪問

可以使用『護衛(wèi)神·防入侵系統(tǒng)』的“網(wǎng)站后臺保護”模塊來解決該安全問題。同時該軟件還能對SQL注入漏洞和跨站腳本漏洞進行防護,安全更有效。


1、網(wǎng)站后臺保護

護衛(wèi)神·防入侵系統(tǒng)』的“網(wǎng)站后臺保護”模塊,可以對后臺等敏感文件做防護,未授權用戶禁止訪問(包括靜態(tài)文件)。因為采用獨立認證機制,即使網(wǎng)站程序有漏洞也能有效防護。如下圖一,設置好后臺地址和授權密碼,當訪問后臺時,需要先驗證授權密碼(如圖二),黑客肯定不知道密碼的。同時該系統(tǒng)還能防SQL注入攻擊和跨站腳本攻擊(如圖三)。


1.png

(圖一:ClassCMS后臺保護)



網(wǎng)站后臺保護

(圖二:訪問后臺需要驗證授權密碼)



xss攻擊防護

(圖三:SQL注入和跨站腳本攻擊防護)



2、防篡改保護

如果對安全要求較高,還可以使用『護衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護”模塊,對ClassCMS做防篡改保護。

在“篡改防護-添加CMS防護”(如圖四)。選擇網(wǎng)站目錄,安全模板選擇“ClassCMS安全模板”,并填寫正確的后臺地址,點擊“確定”按鈕,就添加好了。

護衛(wèi)神.防入侵系統(tǒng)內(nèi)置有ClassCMS的篡改防護規(guī)則,只需簡單設置即可解決,非常方便!

ClassCMS防篡改規(guī)則

(圖四:添加ClassCMS防篡改規(guī)則)