10秒后自動關閉
ZZCMS最新跨站腳本漏洞及解決辦法(CNVD-2025-05384、CVE-2025-1949)

ZZCMS 是一款基于 PHP + MySQL 的內容管理系統(tǒng),主要用于快速搭建招商網(wǎng)站,可快速搭建:醫(yī)藥招商、保健品招商、化妝品招商、農資招商、孕嬰童招商、酒類副食類等招商網(wǎng)站。

它以簡潔、高效和安全為特點,適合企業(yè)、個人及開發(fā)者使用。ZZCMS 提供了豐富的模塊和插件,支持新聞發(fā)布、產(chǎn)品展示、在線留言等常見功能,用戶可通過后臺輕松管理內容。其模板系統(tǒng)允許靈活定制頁面樣式,滿足不同設計需求。作為一款輕量級 CMS,ZZCMS 注重性能優(yōu)化,適合對速度和資源占用有要求的場景。


國家信息安全漏洞共享平臺于2025-03-14公布其存在跨站腳本漏洞。

漏洞編號:CNVD-2025-05384、CVE-2025-1949

影響產(chǎn)品:ZZCMS 2025

漏洞級別

公布時間:2025-03-14

漏洞描述:ZZCMS 2025版本存在跨站腳本漏洞,該漏洞源于 register_nodb.php 頁面中的參數(shù) $_SERVER[ PHP_SELF ] 對用戶提交的數(shù)據(jù)缺乏有效過濾和轉義,不法分子可利用該漏洞注入執(zhí)行任意Web腳本或HTML,可獲取敏感信息或劫持用戶會話。


解決辦法:

目前廠商尚未發(fā)布修復補丁。你可以使用『護衛(wèi)神·防入侵系統(tǒng)』的SQL注入防護模塊來解決該漏洞問題,該模塊除了防SQL注入,還可以防跨站腳本漏洞。不止對該漏洞有效,對所有SQL注入和跨腳本漏洞都可以防護。


1、SQL注入防護和XSS跨站攻擊防護

護衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護模塊(如圖二)除了攔截SQL注入,還可以攔截xss跨站腳本,一并解決ZZCMS的其他安全漏洞,攔截效果如圖四。

溫馨提醒:由于是HTTP_Referer出現(xiàn)的跨站腳本漏洞,因此請務必開啟“HEADER防注入”模塊!


SQL注入防護模塊

(圖二:SQL注入防護模塊)



xss攻擊防護

(圖三:XSS跨站腳本攻擊防護)



SQL注入攔截效果

(圖四:SQL注入攔截效果)



2、防篡改保護

如果對安全要求較高,還可以使用『護衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護”模塊,對ZZCMS做防篡改保護。

在“篡改防護-添加CMS防護”(如圖五)。選擇網(wǎng)站目錄,安全模板選擇“ZZCMS安全模板”,并填寫正確的后臺地址,點擊“確定”按鈕,就添加好了。

護衛(wèi)神.防入侵系統(tǒng)內置有ZZCMS的篡改防護規(guī)則,只需簡單設置即可解決,非常方便!

zzcms防篡改

(圖五:添加ZZCMS防篡改規(guī)則)



設置好以后,防入侵系統(tǒng)就會對后臺進行保護,后期訪問時需要先驗證授權密碼(如圖六),只有輸入了正確的密碼才能訪問。

網(wǎng)站后臺保護

(圖六:訪問后臺需要輸入授權密碼)