ClassCMS是一款开源免费的网站内容管理系统,因其功能强大,操作简单,拥有海量用户。
国家信息安全漏洞共享平台于2024-11-25公布该程序存在代码注入漏洞。
漏洞编号:CNVD-2024-49641、CVE-2024-12503
影响产品:ClassCMS 4.8
漏洞级别:中
公布时间:2024-11-25
漏洞描述:该漏洞位于模型管理页面 /index.php/admin,攻击者可以利用该漏洞发起跨站脚本攻击,以获取敏感信息或劫持用户会话。
解决办法:
这个漏洞位于后台,因此非常危险。但解决方法也很简单:对后台做安全保护,未授权人员禁止访问
可以使用『护卫神·防入侵系统』的“网站后台保护”模块来解决该安全问题。同时该软件还能对SQL注入漏洞和跨站脚本漏洞进行防护,安全更有效。
1、网站后台保护
『护卫神·防入侵系统』的“网站后台保护”模块,可以对后台等敏感文件做防护,未授权用户禁止访问(包括静态文件)。因为采用独立认证机制,即使网站程序有漏洞也能有效防护。如下图一,设置好后台地址和授权密码,当访问后台时,需要先验证授权密码(如图二),黑客肯定不知道密码的。同时该系统还能防SQL注入攻击和跨站脚本攻击(如图三)。
(图一:ClassCMS后台保护)
(图二:访问后台需要验证授权密码)
(图三:SQL注入和跨站脚本攻击防护)
2、防篡改保护
如果对安全要求较高,还可以使用『护卫神·防入侵系统』系统的“篡改防护”模块,对ClassCMS做防篡改保护。
在“篡改防护-添加CMS防护”(如图四)。选择网站目录,安全模板选择“ClassCMS安全模板”,并填写正确的后台地址,点击“确定”按钮,就添加好了。
护卫神.防入侵系统内置有ClassCMS的篡改防护规则,只需简单设置即可解决,非常方便!
(图四:添加ClassCMS防篡改规则)
原文:ClassCMS最新代码注入漏洞(CNVD-2024-49641、CVE-2024-12503)
