10秒后自動關閉
YidaCMS最新SQL注入漏洞(CNVD-2025-03813)

YidaCMS(易達CMS企業(yè)建站系統(tǒng))是一款基于Windows IIS平臺,采用ASP語言開發(fā)的免費開源網站管理系統(tǒng)。它支持ACCESS和MSSQL雙數(shù)據庫,模板設計與程序語言分離,便于快捷設計。系統(tǒng)全站靜態(tài)化,支持標準URL路徑,有利于搜索引擎收錄。YidaCMS功能豐富,包括自定義標簽、郵件系統(tǒng)、訂單管理、會員功能等,適用于企業(yè)網站快速建站,幫助用戶高效管理網站內容。


國家信息安全漏洞共享平臺于2025-02-16公布該程序存在代碼注入漏洞。

漏洞編號:CNVD-2025-03813

影響產品:JS3.8.0 20240312(ASP)

漏洞級別

公布時間:2025-02-16

漏洞描述:國家信息安全漏洞共享平臺未公布具體漏洞位置,僅提醒YidaCMS存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據庫敏感信息。


解決辦法:

廠商尚未發(fā)布補丁,可以使用『護衛(wèi)神·防入侵系統(tǒng)』的“SQL注入防護”模塊來解決該注入漏洞,不止對該漏洞有效,對網站所有的SQL注入漏洞和跨腳本漏洞都可以防護。



1、SQL注入防護和XSS跨站攻擊防護

護衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護模塊(如圖一)除了攔截SQL注入,還可以攔截XSS跨站腳本(如圖二),一并解決YidaCMS的其他安全漏洞,攔截效果如圖三。


YidaCMS防護SQL注入攻擊

(圖一:YidaCMS防護SQL注入攻擊)



YidaCMS防護XSS跨站腳本攻擊

(圖二:YidaCMS防護XSS跨站腳本攻擊)



SQL注入攔截效果

(圖三:SQL注入攔截效果)