10秒后自动关闭
RedaxoCMS任意文件上传漏洞及解决办法(CVE-2024-46210、CNVD-2025-05394)

REDAXO是一款基于PHP+MySQL的开源内容管理系统(CMS),自2004年起便致力于提供简单且灵活的内容管理解决方案。它采用模块化设计,支持用户通过安装插件扩展功能,适用于从小型到中型规模的网站和网络应用。REDAXO遵循开源许可协议,允许用户自由使用、修改和分发软件,其源代码开放,促进了社区的协作和创新。


国家信息安全漏洞共享平台于2025-03-07公布其存在跨站脚本漏洞。

漏洞编号:CVE-2024-46210、CNVD-2025-05394

影响产品:REDAXO CMS 5.17.1

漏洞级别

公布时间:2025-03-07

漏洞描述:Redaxo CMS 5.17.1版本的 MediaPool 模块存在任意文件上传漏洞,攻击者可利用该漏洞上传特制的文件执行任意代码,例如上传webshell(网页木马和后门)。



解决办法:

目前厂商已经发布修复补丁,地址:https://gist.github.com/h4ckr4v3n/26eaa57d94f749b597ede8b404c234df

你也可以使用『护卫神·防入侵系统』彻底杜绝文件上传漏洞,一劳永逸。通过驱动级防篡改技术,让非法上传漏洞再也不会出现。


1、防篡改保护

在“篡改防护-添加CMS防护”(如图一)。选择网站目录,安全模板选择“RedaxoCMS安全模板”,并填写正确的后台地址,点击“确定”按钮,就添加好了。

护卫神.防入侵系统内置有RedaxoCMS的篡改防护规则,只需简单设置即可解决,非常方便!

添加RedaxoCMS防篡改规则

(图一:添加RedaxoCMS防篡改规则)



设置好以后,防入侵系统就会对后台进行保护,后期访问时需要先验证授权密码(如图二),只有输入了正确的密码才能访问。

网站后台保护

(图二:访问后台需要验证授权密码)


验证通过后,就可以进入后台登录页面了。

RedaxoCMS后台登录

(图三:RedaxoCMS后台登录)