帝国CMS(EmpireCMS )是一款非常出名的网站管理系统,用户也非常多。
国家信息安全漏洞共享平台于2024-11-06公布其存在SQL注入漏洞。
漏洞编号:CVE-2024-44725、CNVD-2024-43215
影响产品:帝国CMS V7.5
漏洞级别:高
公布时间:2024-11-06
漏洞描述:帝国CMS v7.5版本存在SQL注入漏洞,该漏洞源于 SetEnews.php 中的 ftppassword 参数缺少对外部输入的SQL命令进行验证,黑客可利用该漏洞执行SQL注入攻击,窃取数据库敏感数据或篡改数据。
解决办法:
此类CMS因功能复杂、文件较多的原因,往往不止一处漏洞。如果只是修改代码,并不能彻底解决所有漏洞。
从上述漏洞描述可见,出现问题的文件位于后台,那解决就比较简单了:从物理层面,限制后台只允许管理员进入。
所谓物理层面,是指不依赖帝国CMS自身的身份验证机制,而是通过第三方防护系统来解决。
可以使用『护卫神·防入侵系统』系统的“网站后台保护”和“SQL注入防护”来解决。
1、网站后台保护
如下图一,使用『护卫神·防入侵系统』系统对后台(/admin/)进行保护,后期访问时需要先验证授权密码(如图二),只有输入了正确的密码才能访问。
(图一:网站后台保护设置)
(图二:访问后台需要输入授权密码)
2、SQL注入防护
『护卫神·防入侵系统』自带SQL注入防护模块,安装后默认就开启了(如图三),拦截效果如图四。
(图三:SQL注入防护模块)
(图四:SQL注入拦截效果)
分类:
漏洞播报
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Manus重磅发布:全球首款通用AI代理技术深度解析与实战指南
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧
· 园子的第一款AI主题卫衣上架——"HELLO! HOW CAN I ASSIST YOU TODAY
· 【自荐】一款简洁、开源的在线白板工具 Drawnix
2015-11-19 [Windows Server 2003] 安装IIS6.0及FTP