ClassCMS是一款开源免费的网站内容管理系统,因其功能强大,操作简单,拥有海量用户。
国家信息安全漏洞共享平台于2024-11-25公布该程序存在代码注入漏洞。
漏洞编号:CNVD-2024-49641、CVE-2024-12503
影响产品:ClassCMS 4.8
漏洞级别:中
公布时间:2024-11-25
漏洞描述:该漏洞位于模型管理页面 /index.php/admin,攻击者可以利用该漏洞发起跨站脚本攻击,以获取敏感信息或劫持用户会话。
解决办法:
这个漏洞位于后台,因此非常危险。但解决方法也很简单:对后台做安全保护,未授权人员禁止访问
可以使用『护卫神·防入侵系统』的“网站后台保护”模块来解决该安全问题。同时该软件还能对SQL注入漏洞和跨站脚本漏洞进行防护,安全更有效。
1、网站后台保护
『护卫神·防入侵系统』的“网站后台保护”模块,可以对后台等敏感文件做防护,未授权用户禁止访问(包括静态文件)。因为采用独立认证机制,即使网站程序有漏洞也能有效防护。如下图一,设置好后台地址和授权密码,当访问后台时,需要先验证授权密码(如图二),黑客肯定不知道密码的。同时该系统还能防SQL注入攻击和跨站脚本攻击(如图三)。
(图一:ClassCMS后台保护)
(图二:访问后台需要验证授权密码)
(图三:SQL注入和跨站脚本攻击防护)
2、防篡改保护
如果对安全要求较高,还可以使用『护卫神·防入侵系统』系统的“篡改防护”模块,对ClassCMS做防篡改保护。
在“篡改防护-添加CMS防护”(如图四)。选择网站目录,安全模板选择“ClassCMS安全模板”,并填写正确的后台地址,点击“确定”按钮,就添加好了。
1 | 护卫神.防入侵系统内置有ClassCMS的篡改防护规则,只需简单设置即可解决,非常方便! |
(图四:添加ClassCMS防篡改规则)
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· 单线程的Redis速度为什么快?
· 展开说说关于C#中ORM框架的用法!
· Pantheons:用 TypeScript 打造主流大模型对话的一站式集成库
· SQL Server 2025 AI相关能力初探
2015-12-30 [Windows Server 2012] 手工创建安全网站