XATABoost CMS 是由XATABoost公司开发的一款基于 PHP + MySQL 的网站内容管理系统,主要面向中小型网站的内容发布与管理需求。系统采用经典的PHP架构,支持新闻发布、页面管理、模板定制等基础CMS功能,前端结合CSS实现页面渲染,后台通过PHP处理业务逻辑并与MySQL数据库交互。该系统曾提供多套行业模板,适用于企业官网、博客及非营利组织网站等场景。
国家信息安全漏洞共享平台于2026-05-11公布该程序存在代码注入漏洞。
漏洞编号:CNVD-2026-19969、CVE-2018-25300
影响产品:XATABoost CMS 1.0.0
漏洞级别:高
公布时间:2026-05-11
漏洞描述:该漏洞源于news.php缺少对外部输入SQL语句的验证,攻击者可利用该漏洞通过id参数注入SQL代码操纵数据库查询,向news.php发送带有恶意id值的GET请求以提取敏感数据库信息。
解决办法:
项目方似乎已经停止维护,迟迟没有发布修复补丁。不过您可以使用『护卫神·防入侵系统』的“注入防护”模块来解决该注入漏洞,不止对该漏洞有效,对网站所有的SQL注入漏洞和跨脚本漏洞都可以防护。
1、SQL注入防护和XSS跨站攻击防护
『护卫神·防入侵系统』自带的SQL注入防护模块(如图一)除了拦截SQL注入,还可以拦截XSS跨站脚本(如图二),一并解决XATABoost CMS的其他安全漏洞,拦截效果如图三。
(图一:XATABoost CMS防护SQL注入攻击)
(图二:XATABoost CMS防护XSS跨站脚本攻击)
(图三:SQL注入拦截效果)
