10秒后自动关闭
YzmCMS最新跨站脚本漏洞及解决方法(CNVD-2025-08792、CVE-2025-3397)

YzmCMS是一款轻量级开源内容管理系统,基于PHP+MySQL架构开发,采用MVC模式。它具有源码简洁、体积小巧、安全性高、易于部署等特点。系统支持多平台运行,如Linux、Windows等,适合搭建企业网站、个人博客、门户网站等各类站点。其后台操作便捷,即使无专业技术也能快速上手,还提供方便的二次开发体系,能满足多样化的建站需求,是一款高效实用的全能型建站系统。


国家信息安全漏洞共享平台于2025-04-24公布该插件存在XSS跨站脚本漏洞漏洞。

漏洞编号:CNVD-2025-08792、CVE-2025-3397

影响产品:YzmCMS 7.1

漏洞级别

公布时间:2025-04-24

漏洞描述:该漏洞源于message.tpl中gourl参数处理不当,攻击者利用该漏洞可以通过注入恶意代码执行任意Web脚本或HTML。



解决办法:

目前厂商尚未发布修复补丁。可以使用『护卫神·防入侵系统』的XSS注入防护模块来解决该问题,不止对该漏洞有效,对所有XSS跨脚本漏洞都可以防护。



1、XSS跨站脚本攻击防护

护卫神·防入侵系统』的XSS注入防护模块(如下图一),专门用于拦截跨站脚本攻击,默认已开启。


YzmCMS XSS注入防护模块

(图一:YzmCMS XSS注入防护模块)