10秒后自動關(guān)閉
迅睿CMS最新跨站腳本漏洞(CVE-2023-43962、CNVD-2025-00979)

迅睿CMS(XunRuiCMS)基于MIT開源協(xié)議發(fā)布,免費且不限制商業(yè)使用,是一款非常優(yōu)秀的免費開源產(chǎn)品,允許開發(fā)者自由修改前后臺界面中的版權(quán)信息,包括使用,復(fù)制,修改,合并,發(fā)表,分發(fā),再授權(quán),或者銷售。


國家信息安全漏洞共享平臺于2025-01-10公布該程序存在跨站腳本漏洞。

漏洞編號:CVE-2023-43962、CNVD-2025-00979

影響產(chǎn)品:Xunrui CMS v4.6.1

漏洞級別

公布時間:2025-01-10

漏洞描述:XunRui CMS v4.6.1版本存在跨站腳本漏洞,該漏洞源于系統(tǒng)對用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義,攻擊者可以利用該漏洞,通過項目設(shè)置頁簽中的項目名稱功能執(zhí)行任意Web腳本或HTML代碼,以獲取敏感信息或劫持用戶會話。


解決辦法:

可以使用『護衛(wèi)神·防入侵系統(tǒng)』的SQL注入防護模塊來解決該漏洞問題,該模塊除了防SQL注入,還可以防跨站腳本漏洞。不止對該漏洞有效,對網(wǎng)站所有SQL注入和跨腳本漏洞都可以防護。



1、SQL注入防護和XSS跨站攻擊防護

護衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護模塊(如圖一)除了攔截SQL注入,還可以攔截XSS跨站腳本(如圖二),一并解決迅睿CMS的其他安全漏洞,攔截效果如圖三。


SQL注入防護模塊

(圖一:SQL注入防護模塊)



xss攻擊防護

(圖二:XSS跨站腳本攻擊防護)



SQL注入攔截效果

(圖三:SQL注入攔截效果)



2、防篡改保護

如果對安全要求較高,還可以使用『護衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護”模塊,對迅睿CMS做防篡改保護。

在“篡改防護-添加CMS防護”(如圖四)。選擇網(wǎng)站目錄,安全模板選擇“迅睿CMS安全模板”,并填寫正確的后臺地址,點擊“確定”按鈕,就添加好了。

護衛(wèi)神.防入侵系統(tǒng)內(nèi)置有迅睿CMS的篡改防護規(guī)則,只需簡單設(shè)置即可解決,非常方便!

添加迅睿CMS防篡改規(guī)則

(圖四:添加迅睿CMS防篡改規(guī)則)



設(shè)置好以后,防入侵系統(tǒng)就會對后臺進行保護,后期訪問時需要先驗證授權(quán)密碼(如圖五),只有輸入了正確的密碼才能訪問。

網(wǎng)站后臺保護

(圖五:訪問后臺需要輸入授權(quán)密碼)