91论坛达人人妻论坛申请_欧美日韩在线播放_999呦交小u女精品视频_网站资源多午夜一级毛片

10秒后自動(dòng)關(guān)閉
emlog最新跨站腳本漏洞(CNVD-2025-01607、CVE-2024-13140)

EMLOG是一款輕量級(jí)開源博客和CMS建站系統(tǒng),速度快、省資源、易上手,適合各種規(guī)模的站點(diǎn)搭建,基于PHP+MySQL開發(fā)。


國(guó)家信息安全漏洞共享平臺(tái)于2025-01-16公布該程序存在跨站腳本漏洞。

漏洞編號(hào):CNVD-2025-01607、CVE-2024-13140

影響產(chǎn)品:emlog pro >=2.4.0,<=2.4.3

漏洞級(jí)別

公布時(shí)間:2025-01-16

漏洞描述:EMLOG /admin/article.php處理image存在跨站腳本漏洞,攻擊者可以利用該漏洞,執(zhí)行任意Web腳本或HTML代碼,以獲取敏感信息或劫持用戶會(huì)話。


解決辦法:

這個(gè)漏洞位于后臺(tái),因此比較好解決,可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的“網(wǎng)站后臺(tái)保護(hù)”模塊來解決,限制允許訪問后臺(tái)的IP區(qū)域,或是設(shè)置授權(quán)密碼。同時(shí)還可以使用“SQL注入防護(hù)”模塊來解決該跨站腳本漏洞,不止對(duì)該漏洞有效,對(duì)網(wǎng)站所有的SQL注入漏洞和跨腳本漏洞都可以防護(hù)。



1、SQL注入防護(hù)和XSS跨站攻擊防護(hù)

護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊(如圖一)除了攔截SQL注入,還可以攔截XSS跨站腳本(如圖二),一并解決EMLOG的其他安全漏洞,攔截效果如圖三。


SQL注入防護(hù)模塊

(圖一:SQL注入防護(hù)模塊)



xss攻擊防護(hù)

(圖二:XSS跨站腳本攻擊防護(hù))



SQL注入攔截效果

(圖三:SQL注入攔截效果)



2、防篡改保護(hù)和后臺(tái)保護(hù)

如果對(duì)安全要求較高,還可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護(hù)”模塊,對(duì)EMLOG做防篡改保護(hù)。

在“篡改防護(hù)-添加CMS防護(hù)”(如圖四)。選擇網(wǎng)站目錄,安全模板選擇“EMLOG安全模板”,并填寫正確的后臺(tái)地址,點(diǎn)擊“確定”按鈕,就添加好了。

護(hù)衛(wèi)神.防入侵系統(tǒng)內(nèi)置有EMLOG的篡改防護(hù)規(guī)則,只需簡(jiǎn)單設(shè)置即可解決,非常方便!

添加EMLOG防篡改規(guī)則

(圖四:添加EMLOG防篡改規(guī)則)



設(shè)置好以后,防入侵系統(tǒng)就會(huì)對(duì)后臺(tái)進(jìn)行保護(hù),后期訪問時(shí)需要先驗(yàn)證授權(quán)密碼(如圖五),只有輸入了正確的密碼才能訪問。

網(wǎng)站后臺(tái)保護(hù)

(圖五:訪問后臺(tái)需要輸入授權(quán)密碼)