10秒后自动关闭
漏洞文献:wtcms存在跨站脚本漏洞

wtcms是一套基于ThinkPHP的CMS系统,用于帮助用户快速搭建企业网站、门户网站、个人博客或其他系统。


国家信息安全漏洞共享平台于2024-11-14公布其存在跨站脚本漏洞。

漏洞编号:CNVD-2024-44825、CVE-2024-48239

影响产品:WTCMS v1.0

漏洞级别

公布时间:2024-11-14

漏洞描述:wtcms V1.0存在跨站脚本漏洞,该漏洞来源于文件 AssetController.class.php 的plupload方法中应用程序参数未经处理,不法分子可利用该漏洞注入执行任意Web脚本或HTML。


解决办法:

目前厂商已经发布修复补丁,补丁详情:https://www.cnvd.org.cn/patchInfo/show/618126

另外你也可以使用『护卫神·防入侵系统』的SQL注入防护模块来解决该漏洞,该模块除了防SQL注入,还可以防护跨站脚本漏洞。



1、SQL注入防护和XSS跨站攻击防护

护卫神·防入侵系统』自带的SQL注入防护模块(如图一)除了拦截SQL注入,还可以拦截xss跨站脚本,一并解决WTCMS的其他安全漏洞,拦截效果如图三。


SQL注入防护模块

(图一:SQL注入防护模块)



xss攻击防护

(图二:xss攻击防护)



SQL注入拦截效果

(图三:SQL注入拦截效果)



2、防篡改保护

如果对安全要求较高,还可以使用『护卫神·防入侵系统』系统的“篡改防护”模块,对WTCMS做篡改保护。

在“篡改防护-添加CMS防护”(如图四)。选择网站目录,安全模板选择“WTCMS安全模板”,并填写正确的后台地址,点击“确定”按钮,就添加好了。

护卫神.防入侵系统内置有WTCMS的篡改防护规则,只需简单设置即可解决,非常方便!

wtcms防篡改

(图四:添加WTCMS防篡改规则)



设置好以后,防入侵系统就会对后台进行保护,后期访问时需要先验证授权密码(如图五),只有输入了正确的密码才能访问。

网站后台保护

(图五:访问后台需要输入授权密码)