10秒后自動關(guān)閉
YesWiki最新跨站腳本漏洞(CNVD-2025-03330、CVE-2025-24018)

YesWiki是一個開源、易用的 Wiki 平臺,基于 PHP 和 MySQL 開發(fā),適合個人、團隊和組織快速搭建知識庫或協(xié)作平臺。它無需復(fù)雜配置,安裝簡單,支持多語言和插件擴展,用戶可通過可視化編輯器輕松創(chuàng)建和編輯內(nèi)容,適合技術(shù)門檻較低的用戶使用。


國家信息安全漏洞共享平臺于2025-02-20公布該程序存在跨站腳本漏洞。

漏洞編號:CNVD-2025-03330、CVE-2025-24018

影響產(chǎn)品:YesWiki <=4.4.5

漏洞級別

公布時間:2025-02-20

漏洞描述:YesWiki 4.4.5及之前版本存在XSS漏洞,該漏洞源于attach組件處理不存在的文件名時安全驗證不當(dāng),攻擊者可以利用該漏洞,通過該漏洞執(zhí)行任意Web腳本或HTML代碼,以獲取敏感信息或劫持用戶會話。


解決辦法:

可以使用『護衛(wèi)神·防入侵系統(tǒng)』的SQL注入防護模塊來解決該漏洞問題,該模塊除了防SQL注入,還可以防跨站腳本漏洞。不止對該漏洞有效,對網(wǎng)站所有SQL注入和跨腳本漏洞都可以防護。



1、XSS跨站攻擊防護和SQL注入防護

護衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護模塊(如圖一)除了攔截SQL注入,還可以攔截XSS跨站腳本攻擊(如圖二),一并解決YesWiki的其他安全漏洞,攔截效果如圖三。


YesWiki防SQL注入防護模塊

(圖一:YesWiki防SQL注入防護模塊)



YesWiki防XSS跨站腳本攻擊防護

(圖二:YesWiki防XSS跨站腳本攻擊防護)



SQL注入攔截效果

(圖三:SQL注入攔截效果)