HKCMS是一款免费开源内容管理系统,核心采用ThinkPHP框架,免授权,永久商用。
国家信息安全漏洞共享平台于2024-11-27公布其存在跨站脚本漏洞。
漏洞编号:CNVD-2024-46246、CVE-2024-52677
影响产品:HkCMS <=2.3.2.240702
漏洞级别:高
公布时间:2024-11-27
漏洞描述:HkCMS文件上传漏洞源于在 /app/common/library/Upload.php 中的getFileName方法安全过滤不严,导致不法分子可利用该漏洞上传木马后门文件,从而进一步获取或破坏系统数据。
解决办法:
要解决该漏洞隐患,最佳办法是对网站做防篡改保护,让黑客无法上传木马后门文件。具体方法如下:
使用『护卫神·防入侵系统』的“篡改防护”和“网站后台保护”模块,对网站做防篡改保护,以及对后台做访问限制保护,让未授权人员不仅不能上传文件,还不能进入后台。这样黑客自然无法再入侵了!
1、防篡改保护
在“篡改防护-添加CMS防护”(如图一)。选择网站目录,安全模板选择“ThinkPHP安全模板”,并填写正确的后台地址,点击“确定”按钮,就添加好了。
HKCMS基于ThinkPHP开发,因此选择“ThinkPHP安全模板”规则就可以了!
(图一:添加HKCMS防篡改规则)
设置好以后,防入侵系统就会立即在底层驱动锁死文件,同时还会对后台进行保护,访问时需要先验证授权密码(如图二),只有输入了正确的密码才能访问。
授权密码可以在“网站防护-访问保护-网站后台保护-授权密码”设置!
(图二:访问后台需要输入授权密码)
