YzmCMS是一款轻量级开源内容管理系统,基于PHP+MySQL架构开发,采用MVC模式。它具有源码简洁、体积小巧、安全性高、易于部署等特点。系统支持多平台运行,如Linux、Windows等,适合搭建企业网站、个人博客、门户网站等各类站点。其后台操作便捷,即使无专业技术也能快速上手,还提供方便的二次开发体系,能满足多样化的建站需求,是一款高效实用的全能型建站系统。
国家信息安全漏洞共享平台于2025-04-24公布该插件存在XSS跨站脚本漏洞漏洞。
漏洞编号:CNVD-2025-08792、CVE-2025-3397
影响产品:YzmCMS 7.1
漏洞级别:中
公布时间:2025-04-24
漏洞描述:该漏洞源于message.tpl中gourl参数处理不当,攻击者利用该漏洞可以通过注入恶意代码执行任意Web脚本或HTML。
解决办法:
目前厂商尚未发布修复补丁。可以使用『护卫神·防入侵系统』的XSS注入防护模块来解决该问题,不止对该漏洞有效,对所有XSS跨脚本漏洞都可以防护。
1、XSS跨站脚本攻击防护
『护卫神·防入侵系统』的XSS注入防护模块(如下图一),专门用于拦截跨站脚本攻击,默认已开启。
(图一:YzmCMS XSS注入防护模块)
