10秒后自動關閉
AutoCMS存在SQL注入漏洞(CVE-2024-44725、CNVD-2024-43215)

AutoCMS是一款由PHP語言開發(fā),支持全自動建站、無需人工維護的CMS系統(tǒng)?砂搓P鍵詞無限擴展內容,一個后臺管理多個站點。自動采集生成原創(chuàng)文章或聚合內容。


國家信息安全漏洞共享平臺于2024-11-06公布其存在SQL注入漏洞。

漏洞編號:CVE-2024-44725、CNVD-2024-43215

影響產品:AutoCMS 5.4

漏洞級別:高

公布時間2024-11-06

漏洞描述:系統(tǒng)文件 /admin/robot.php 的側邊欄參數(shù),沒有對外部輸入的SQL命令進行驗證,黑客可利用該漏洞執(zhí)行SQL注入攻擊,竊取數(shù)據庫敏感數(shù)據或篡改數(shù)據。


解決辦法:

此類CMS因功能復雜、文件較多的原因,往往不止一處漏洞。如果只是修改代碼,并不能徹底解決所有漏洞。

從上述漏洞描述可見,出現(xiàn)問題的文件位于后臺,那解決就比較簡單了:從物理層面,限制后臺只允許管理員進入。

所謂物理層面,是指不依賴AutoCMS自身的身份驗證機制,而是通過第三方防護系統(tǒng)來解決。

可以使用『護衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“網站后臺保護”和“SQL注入防護”來解決。


1、網站后臺保護

如下圖一,對后臺(/admin/進行保護,后期訪問時需要先驗證授權密碼(如圖二),只有輸入了正確的密碼才能訪問。


未命�?1.png

(圖一:網站后臺保護設置)




未命�?2.png

(圖二:訪問后臺需要輸入授權密碼)



2、SQL注入防護

護衛(wèi)神·防入侵系統(tǒng)』自帶SQL注入防護模塊,安裝后默認就開啟了(如圖三),攔截效果如圖四。


未命�?3.png

(圖三:SQL注入防護模塊)



未命�?1.png

(圖四:SQL注入攔截效果)