10秒后自動(dòng)關(guān)閉
YidaCMS最新SQL注入漏洞(CNVD-2025-03813)

YidaCMS(易達(dá)CMS企業(yè)建站系統(tǒng))是一款基于Windows IIS平臺(tái),采用ASP語言開發(fā)的免費(fèi)開源網(wǎng)站管理系統(tǒng)。它支持ACCESS和MSSQL雙數(shù)據(jù)庫,模板設(shè)計(jì)與程序語言分離,便于快捷設(shè)計(jì)。系統(tǒng)全站靜態(tài)化,支持標(biāo)準(zhǔn)URL路徑,有利于搜索引擎收錄。YidaCMS功能豐富,包括自定義標(biāo)簽、郵件系統(tǒng)、訂單管理、會(huì)員功能等,適用于企業(yè)網(wǎng)站快速建站,幫助用戶高效管理網(wǎng)站內(nèi)容。


國家信息安全漏洞共享平臺(tái)于2025-02-16公布該程序存在代碼注入漏洞。

漏洞編號(hào):CNVD-2025-03813

影響產(chǎn)品:JS3.8.0 20240312(ASP)

漏洞級別

公布時(shí)間:2025-02-16

漏洞描述:國家信息安全漏洞共享平臺(tái)未公布具體漏洞位置,僅提醒YidaCMS存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。


解決辦法:

廠商尚未發(fā)布補(bǔ)丁,可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的“SQL注入防護(hù)”模塊來解決該注入漏洞,不止對該漏洞有效,對網(wǎng)站所有的SQL注入漏洞和跨腳本漏洞都可以防護(hù)。



1、SQL注入防護(hù)和XSS跨站攻擊防護(hù)

護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊(如圖一)除了攔截SQL注入,還可以攔截XSS跨站腳本(如圖二),一并解決YidaCMS的其他安全漏洞,攔截效果如圖三。


YidaCMS防護(hù)SQL注入攻擊

(圖一:YidaCMS防護(hù)SQL注入攻擊)



YidaCMS防護(hù)XSS跨站腳本攻擊

(圖二:YidaCMS防護(hù)XSS跨站腳本攻擊)



SQL注入攔截效果

(圖三:SQL注入攔截效果)