YzmCMS是一款輕量級開源內(nèi)容管理系統(tǒng),基于PHP+MySQL架構(gòu)開發(fā),采用MVC模式。它具有源碼簡潔、體積小巧、安全性高、易于部署等特點。系統(tǒng)支持多平臺運行,如Linux、Windows等,適合搭建企業(yè)網(wǎng)站、個人博客、門戶網(wǎng)站等各類站點。其后臺操作便捷,即使無專業(yè)技術(shù)也能快速上手,還提供方便的二次開發(fā)體系,能滿足多樣化的建站需求,是一款高效實用的全能型建站系統(tǒng)。
國家信息安全漏洞共享平臺于2025-04-24公布該插件存在XSS跨站腳本漏洞漏洞。
漏洞編號:CNVD-2025-08792、CVE-2025-3397
影響產(chǎn)品:YzmCMS 7.1
漏洞級別:中
公布時間:2025-04-24
漏洞描述:該漏洞源于message.tpl中g(shù)ourl參數(shù)處理不當(dāng),攻擊者利用該漏洞可以通過注入惡意代碼執(zhí)行任意Web腳本或HTML。
解決辦法:
目前廠商尚未發(fā)布修復(fù)補丁。可以使用『護衛(wèi)神·防入侵系統(tǒng)』的XSS注入防護模塊來解決該問題,不止對該漏洞有效,對所有XSS跨腳本漏洞都可以防護。
1、XSS跨站腳本攻擊防護
『護衛(wèi)神·防入侵系統(tǒng)』的XSS注入防護模塊(如下圖一),專門用于攔截跨站腳本攻擊,默認(rèn)已開啟。
(圖一:YzmCMS XSS注入防護模塊)
浙公網(wǎng)安備 33010602011771號