10秒后自動關(guān)閉
SeaCMS(海洋CMS)跨站腳本漏洞(CNVD-2024-39583、CVE-2024-44683)

SeaCMS(海洋CMS)是一款開源免費PHP影視系統(tǒng),該系統(tǒng)主要用來管理視頻點播資源,因其功能強大,操作使用簡單,擁有大量用戶。


國家信息安全漏洞共享平臺于2024-09-29公布其存在跨站腳本漏洞。

漏洞編號:CNVD-2024-39583、CVE-2024-44683

影響產(chǎn)品:SeaCMS(海洋CMS) 13.0

漏洞級別

公布時間:2024-09-29

漏洞描述:SeaCMS v13版本存在跨站腳本攻擊漏洞,該漏洞源于 admin-video.php 文件存在漏洞。黑客可利用該漏洞對網(wǎng)站發(fā)起xss攻擊,以獲得系統(tǒng)或文件中的其他信息。


解決辦法:

首先這個文件是后臺管理文件,我們可以從物理層面限定:只允許合法管理員進入后臺;同時還可以:禁止任何人提交腳本內(nèi)容到服務(wù)器。這樣就可以解決問題了。

因此我們需要用到『護衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“網(wǎng)站后臺保護”和“SQL注入防護”來解決。


1、網(wǎng)站后臺保護

如下圖一,對后臺(/admin/)進行保護,后期訪問時需要先驗證授權(quán)密碼(如圖二),只有輸入了正確的密碼才能訪問。


網(wǎng)站后臺保護.png

(圖一:網(wǎng)站后臺保護設(shè)置)




網(wǎng)站后臺保護.png

(圖二:訪問后臺需要輸入授權(quán)密碼)



2、xss跨站腳本攻擊防護

護衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護模塊(如圖三)也可以攔截xss跨站腳本,原理很簡單,攔截“script”標簽即可(如圖四),攔截效果如圖五。


SQL注入防護模塊.png

(圖三:SQL注入防護模塊)


xss攻擊防護.png

(圖四:xss攻擊防護)



SQL注入攔截效果.png

(圖五:SQL注入攔截效果)