10秒后自動(dòng)關(guān)閉
漏洞文獻(xiàn):HkCms存在文件上傳漏洞(CNVD-2024-46246、CVE-2024-52677)

HKCMS是一款免費(fèi)開源內(nèi)容管理系統(tǒng),核心采用ThinkPHP框架,免授權(quán),永久商用。


國(guó)家信息安全漏洞共享平臺(tái)于2024-11-27公布其存在跨站腳本漏洞。

漏洞編號(hào):CNVD-2024-46246、CVE-2024-52677

影響產(chǎn)品:HkCMS <=2.3.2.240702

漏洞級(jí)別

公布時(shí)間:2024-11-27

漏洞描述:HkCMS文件上傳漏洞源于在 /app/common/library/Upload.php 中的getFileName方法安全過(guò)濾不嚴(yán),導(dǎo)致不法分子可利用該漏洞上傳木馬后門文件,從而進(jìn)一步獲取或破壞系統(tǒng)數(shù)據(jù)。


解決辦法:

要解決該漏洞隱患,最佳辦法是對(duì)網(wǎng)站做防篡改保護(hù),讓黑客無(wú)法上傳木馬后門文件。具體方法如下:

使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的“篡改防護(hù)”和“網(wǎng)站后臺(tái)保護(hù)”模塊,對(duì)網(wǎng)站做防篡改保護(hù),以及對(duì)后臺(tái)做訪問(wèn)限制保護(hù),讓未授權(quán)人員不僅不能上傳文件,還不能進(jìn)入后臺(tái)。這樣黑客自然無(wú)法再入侵了!


1、防篡改保護(hù)

在“篡改防護(hù)-添加CMS防護(hù)”(如圖一)。選擇網(wǎng)站目錄,安全模板選擇“ThinkPHP安全模板”,并填寫正確的后臺(tái)地址,點(diǎn)擊“確定”按鈕,就添加好了。

HKCMS基于ThinkPHP開發(fā),因此選擇“ThinkPHP安全模板”規(guī)則就可以了!

HKCMS防篡改規(guī)則

(圖一:添加HKCMS防篡改規(guī)則)



設(shè)置好以后,防入侵系統(tǒng)就會(huì)立即在底層驅(qū)動(dòng)鎖死文件,同時(shí)還會(huì)對(duì)后臺(tái)進(jìn)行保護(hù),訪問(wèn)時(shí)需要先驗(yàn)證授權(quán)密碼(如圖二),只有輸入了正確的密碼才能訪問(wèn)。

授權(quán)密碼可以在“網(wǎng)站防護(hù)-訪問(wèn)保護(hù)-網(wǎng)站后臺(tái)保護(hù)-授權(quán)密碼”設(shè)置!

網(wǎng)站后臺(tái)保護(hù)

(圖二:訪問(wèn)后臺(tái)需要輸入授權(quán)密碼)