10秒后自动关闭
帝国CMS存在SQL注入漏洞(CNVD-2024-4321448、CVE-2023-50073)

帝国CMS(EmpireCMS )是一款非常出名的网站管理系统,用户也非常多。


国家信息安全漏洞共享平台于2024-11-06公布其存在SQL注入漏洞。

漏洞编号:CVE-2024-44725、CNVD-2024-43215

影响产品:帝国CMS V7.5

漏洞级别:高

公布时间:2024-11-06

漏洞描述:帝国CMS v7.5版本存在SQL注入漏洞,该漏洞源于 SetEnews.php 中的 ftppassword 参数缺少对外部输入的SQL命令进行验证,黑客可利用该漏洞执行SQL注入攻击,窃取数据库敏感数据或篡改数据。

image

image

image


解决办法:

此类CMS因功能复杂、文件较多的原因,往往不止一处漏洞。如果只是修改代码,并不能彻底解决所有漏洞。

从上述漏洞描述可见,出现问题的文件位于后台,那解决就比较简单了:从物理层面,限制后台只允许管理员进入。

所谓物理层面,是指不依赖帝国CMS自身的身份验证机制,而是通过第三方防护系统来解决。

可以使用『护卫神·防入侵系统』系统的“网站后台保护”和“SQL注入防护”来解决。



1、网站后台保护

如下图一,对后台(/admin/)进行保护,后期访问时需要先验证授权密码(如图二),只有输入了正确的密码才能访问。


网站后台保护.png

(图一:网站后台保护设置)




网站后台保护.png

(图二:访问后台需要输入授权密码)



2、SQL注入防护

护卫神·防入侵系统』自带SQL注入防护模块,安装后默认就开启了(如图三),拦截效果如图四。


SQL注入防护模块.png

(图三:SQL注入防护模块)



SQL注入拦截效果.png

(图四:SQL注入拦截效果)