10秒后自动关闭
DedeCMS最新注入漏洞(CNVD-2024-44514、CVE-2024-9076)

DedeCms系统(织梦系统)是一套PHP开发的网站管理系统,因其功能强大,操作使用简单,具有非常高的知名度,拥有大量用户。


国家信息安全漏洞共享平台于2024-11-07公布其存在跨站脚本漏洞。

漏洞编号:CNVD-2024-44514、CVE-2024-9076

影响产品:DeDeCMS <=5.7.115

漏洞级别

公布时间:2024-11-07

漏洞描述:该注入漏洞来自于后台文件 article_string_mix.php 未能正确过滤构造命令特殊字符、命令等。黑客可利用该漏洞执行任意命令,进行篡改数据、拖库等危险操作。


解决办法:

article_string_mix.php文件是后台管理文件,我们可以从物理层面限定:只允许合法管理员进入后台进行SQL注入防护。通过两步操作就可以彻底解决问题。

因此我们需要用到『护卫神·防入侵系统』系统的“网站后台保护”和“SQL注入防护”来解决。


1、网站后台保护

如下图一,使用『护卫神·防入侵系统』对后台(/admin/)进行保护,后期访问时需要先验证授权密码(如图二),只有输入了正确的密码才能访问。让黑客根本接触不到这个漏洞,自然也就无法入侵了!


网站后台保护

(图一:网站后台保护设置)




网站后台保护

(图二:访问后台需要输入授权密码)



2、SQL注入攻击防护

护卫神·防入侵系统』自带的SQL注入防护模块(如图三),拦截效果如图四。


SQL注入防护模块

(图三:SQL注入防护模块)



SQL注入拦截

(图四:SQL注入拦截效果)



3、使用篡改防护,进一步提升安全

护卫神·防入侵系统』的“篡改防护”模块内置有DEDECMS的防篡改策略,只需要在“篡改防护-添加CMS防护”,选择“DEDECMS(织梦)安全模板”,就可以自动配置好防篡改规则,非常强大、方便。(如下图五)


dedecms防篡改

(图五:DEDECMS防篡改功能)