10秒后自动关闭
漏洞文献:海洋CMS最新代码执行漏洞(CNVD-2024-44823、CVE-2024-42599)

SeaCMS(海洋CMS)是一款开源免费PHP影视系统,该系统主要用来管理视频点播资源,因其功能强大,操作使用简单,拥有大量用户。


国家信息安全漏洞共享平台于2024-11-14公布其存在跨站脚本漏洞。

漏洞编号:CNVD-2024-44823、CVE-2024-42599

影响产品:SeaCMS(海洋CMS) 13.0

漏洞级别

公布时间:2024-11-14

漏洞描述:SeaCMS 13.0版本存在代码执行漏洞,该漏洞源于对编辑文件的安全限制不到位,黑客可利用该漏洞绕过其安全规则写入代码,从而执行任意命令(如上传木马),获取网站管理权限,以及进一步获取服务器权限。

一句话说明:该CMS存在漏洞,黑客可以上传木马后门!


解决办法:

要防止黑客上传木马后门,需要使用防篡改技术,从系统底层驱动层面阻止黑客写入PHP木马,才能彻底解决问题。我们需要使用『护卫神·防入侵系统』系统的“篡改防护”,配置SeaCMS专用的篡改防护策略。


1、防篡改保护

使用『护卫神·防入侵系统』系统的“篡改防护-添加CMS防护”(如图一)。选择网站目录,安全模板选择“海洋CMS(SeaCMS)安全模板)”,并填写正确的后台地址,点击“确定”按钮,就添加好了。

护卫神.防入侵系统内置有SeaCMS(海洋CMS)的篡改防护规则,只需简单设置即可解决,非常方便!

seacms防篡改

(图一:添加SeaCMS防篡改规则)



设置好以后,防入侵系统就会对后台进行保护,后期访问时需要先验证授权密码(如图二),只有输入了正确的密码或者登录护卫神防入侵管理面板才能访问。

网站后台保护

(图二:访问后台需要输入授权密码)



2、SQL注入防护和XSS跨站攻击防护

护卫神·防入侵系统』自带的SQL注入防护模块(如图三)除了拦截SQL注入,还可以拦截xss跨站脚本,一并解决SeaCMS的其他安全漏洞,拦截效果如图五。


SQL注入防护模块

(图三:SQL注入防护模块)


xss攻击防护

(图四:xss攻击防护)



SQL注入拦截效果

(图五:SQL注入拦截效果)