10秒后自动关闭
AutoCMS存在SQL注入漏洞(CVE-2024-44725、CNVD-2024-43215)

AutoCMS是一款由PHP语言开发,支持全自动建站、无需人工维护的CMS系统。可按关键词无限扩展内容,一个后台管理多个站点。自动采集生成原创文章或聚合内容。


国家信息安全漏洞共享平台于2024-11-06公布其存在SQL注入漏洞。

漏洞编号:CVE-2024-44725、CNVD-2024-43215

影响产品:AutoCMS 5.4

漏洞级别:高

公布时间2024-11-06

漏洞描述:系统文件 /admin/robot.php 的侧边栏参数,没有对外部输入的SQL命令进行验证,黑客可利用该漏洞执行SQL注入攻击,窃取数据库敏感数据或篡改数据。


解决办法:

此类CMS因功能复杂、文件较多的原因,往往不止一处漏洞。如果只是修改代码,并不能彻底解决所有漏洞。

从上述漏洞描述可见,出现问题的文件位于后台,那解决就比较简单了:从物理层面,限制后台只允许管理员进入。

所谓物理层面,是指不依赖AutoCMS自身的身份验证机制,而是通过第三方防护系统来解决。

可以使用『护卫神·防入侵系统』系统的“网站后台保护”和“SQL注入防护”来解决。


1、网站后台保护

如下图一,对后台(/admin/进行保护,后期访问时需要先验证授权密码(如图二),只有输入了正确的密码才能访问。


未命�?1.png

(图一:网站后台保护设置)




未命�?2.png

(图二:访问后台需要输入授权密码)



2、SQL注入防护

护卫神·防入侵系统』自带SQL注入防护模块,安装后默认就开启了(如图三),拦截效果如图四。


未命�?3.png

(图三:SQL注入防护模块)



未命�?1.png

(图四:SQL注入拦截效果)