10秒后自动关闭
SeaCMS(海洋CMS)跨站脚本漏洞(CNVD-2024-39583、CVE-2024-44683)

SeaCMS(海洋CMS)是一款开源免费PHP影视系统,该系统主要用来管理视频点播资源,因其功能强大,操作使用简单,拥有大量用户。


国家信息安全漏洞共享平台于2024-09-29公布其存在跨站脚本漏洞。

漏洞编号:CNVD-2024-39583、CVE-2024-44683

影响产品:SeaCMS(海洋CMS) 13.0

漏洞级别

公布时间:2024-09-29

漏洞描述:SeaCMS v13版本存在跨站脚本攻击漏洞,该漏洞源于 admin-video.php 文件存在漏洞。黑客可利用该漏洞对网站发起xss攻击,以获得系统或文件中的其他信息。


解决办法:

首先这个文件是后台管理文件,我们可以从物理层面限定:只允许合法管理员进入后台;同时还可以:禁止任何人提交脚本内容到服务器。这样就可以解决问题了。

因此我们需要用到『护卫神·防入侵系统』系统的“网站后台保护”和“SQL注入防护”来解决。


1、网站后台保护

如下图一,对后台(/admin/)进行保护,后期访问时需要先验证授权密码(如图二),只有输入了正确的密码才能访问。


网站后台保护.png

(图一:网站后台保护设置)




网站后台保护.png

(图二:访问后台需要输入授权密码)



2、xss跨站脚本攻击防护

护卫神·防入侵系统』自带的SQL注入防护模块(如图三)也可以拦截xss跨站脚本,原理很简单,拦截“script”标签即可(如图四),拦截效果如图五。


SQL注入防护模块.png

(图三:SQL注入防护模块)


xss攻击防护.png

(图四:xss攻击防护)



SQL注入拦截效果.png

(图五:SQL注入拦截效果)