10秒后自动关闭
SEMCMS存在SQL注入漏洞(CNVD-2024-39254、CVE-2024-46103)

SEMCMS外贸网站系统一套开源外贸企业网站管理系统,有ASP和PHP两个版本(是为数不多的ASP系统,点个赞!),支持多种语言,主要用于外贸企业,因其功能强大,操作使用简单,拥有大量用户。


国家信息安全漏洞共享平台于2024-09-26公布其存在跨站脚本漏洞。

漏洞编号:CNVD-2024-39254、CVE-2024-46103

影响产品:SEMCMS(PHP) V4.8

漏洞级别

公布时间:2024-09-26

漏洞描述:该漏洞来自于后台文件 SEMCMS_Main.php 缺少对外部输入的SQL命令进行验证,黑客可利用该漏洞执行非法SQL命令,执行篡改数据、拖库等危险操作。


解决办法:

SEMCMS_Main.php文件是后台管理文件,我们可以从物理层面限定:只允许合法管理员进入后台进行SQL注入防护。通过两步操作就可以彻底解决问题。

因此我们需要用到『护卫神·防入侵系统』系统的“网站后台保护”和“SQL注入防护”来解决。


1、网站后台保护

如下图一,对后台(/admin/)进行保护,后期访问时需要先验证授权密码(如图二),只有输入了正确的密码才能访问。让黑客根本接触不到这个漏洞,自然也就无法入侵了!


网站后台保护

(图一:网站后台保护设置)




网站后台保护

(图二:访问后台需要输入授权密码)



2、SQL注入攻击防护

护卫神·防入侵系统』自带的SQL注入防护模块(如图三),拦截效果如图四。


SQL注入防护模块

(图三:SQL注入防护模块)



SQL注入拦截

(图四:SQL注入拦截效果)



3、使用篡改防护,进一步提升安全

护卫神·防入侵系统』的“篡改防护”模块内置有SEMCMS的防篡改策略,只需要在“篡改防护-添加CMS防护”,选择“SEMCMS外贸网站系统(PHP版)安全模板”,就可以自动配置好防篡改规则,非常强大、方便。(如下图五)


SEMCMS防篡改

(图五:SEMCMS防篡改功能)