10秒后自動(dòng)關(guān)閉
SEMCMS存在SQL注入漏洞(CNVD-2024-39254、CVE-2024-46103)

SEMCMS外貿(mào)網(wǎng)站系統(tǒng)一套開源外貿(mào)企業(yè)網(wǎng)站管理系統(tǒng),有ASP和PHP兩個(gè)版本(是為數(shù)不多的ASP系統(tǒng),點(diǎn)個(gè)贊。,支持多種語言,主要用于外貿(mào)企業(yè),因其功能強(qiáng)大,操作使用簡(jiǎn)單,擁有大量用戶。


國(guó)家信息安全漏洞共享平臺(tái)于2024-09-26公布其存在跨站腳本漏洞。

漏洞編號(hào):CNVD-2024-39254、CVE-2024-46103

影響產(chǎn)品:SEMCMS(PHP) V4.8

漏洞級(jí)別

公布時(shí)間:2024-09-26

漏洞描述:該漏洞來自于后臺(tái)文件 SEMCMS_Main.php 缺少對(duì)外部輸入的SQL命令進(jìn)行驗(yàn)證,黑客可利用該漏洞執(zhí)行非法SQL命令,執(zhí)行篡改數(shù)據(jù)、拖庫等危險(xiǎn)操作。


解決辦法:

SEMCMS_Main.php文件是后臺(tái)管理文件,我們可以從物理層面限定:只允許合法管理員進(jìn)入后臺(tái)進(jìn)行SQL注入防護(hù)。通過兩步操作就可以徹底解決問題。

因此我們需要用到『護(hù)衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“網(wǎng)站后臺(tái)保護(hù)”和“SQL注入防護(hù)”來解決。


1、網(wǎng)站后臺(tái)保護(hù)

如下圖一,對(duì)后臺(tái)(/admin/)進(jìn)行保護(hù),后期訪問時(shí)需要先驗(yàn)證授權(quán)密碼(如圖二),只有輸入了正確的密碼才能訪問。讓黑客根本接觸不到這個(gè)漏洞,自然也就無法入侵了!


網(wǎng)站后臺(tái)保護(hù)

(圖一:網(wǎng)站后臺(tái)保護(hù)設(shè)置)




網(wǎng)站后臺(tái)保護(hù)

(圖二:訪問后臺(tái)需要輸入授權(quán)密碼)



2、SQL注入攻擊防護(hù)

護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊(如圖三),攔截效果如圖四。


SQL注入防護(hù)模塊

(圖三:SQL注入防護(hù)模塊)



SQL注入攔截

(圖四:SQL注入攔截效果)



3、使用篡改防護(hù),進(jìn)一步提升安全

護(hù)衛(wèi)神·防入侵系統(tǒng)』的“篡改防護(hù)”模塊內(nèi)置有SEMCMS的防篡改策略,只需要在“篡改防護(hù)-添加CMS防護(hù)”,選擇“SEMCMS外貿(mào)網(wǎng)站系統(tǒng)(PHP版)安全模板”,就可以自動(dòng)配置好防篡改規(guī)則,非常強(qiáng)大、方便。(如下圖五)


SEMCMS防篡改

(圖五:SEMCMS防篡改功能)