10秒后自動(dòng)關(guān)閉
YesWiki最新跨站腳本漏洞(CNVD-2025-03330、CVE-2025-24018)

YesWiki是一個(gè)開源、易用的 Wiki 平臺(tái),基于 PHP 和 MySQL 開發(fā),適合個(gè)人、團(tuán)隊(duì)和組織快速搭建知識(shí)庫(kù)或協(xié)作平臺(tái)。它無需復(fù)雜配置,安裝簡(jiǎn)單,支持多語(yǔ)言和插件擴(kuò)展,用戶可通過可視化編輯器輕松創(chuàng)建和編輯內(nèi)容,適合技術(shù)門檻較低的用戶使用。


國(guó)家信息安全漏洞共享平臺(tái)于2025-02-20公布該程序存在跨站腳本漏洞。

漏洞編號(hào):CNVD-2025-03330、CVE-2025-24018

影響產(chǎn)品:YesWiki <=4.4.5

漏洞級(jí)別

公布時(shí)間:2025-02-20

漏洞描述:YesWiki 4.4.5及之前版本存在XSS漏洞,該漏洞源于attach組件處理不存在的文件名時(shí)安全驗(yàn)證不當(dāng),攻擊者可以利用該漏洞,通過該漏洞執(zhí)行任意Web腳本或HTML代碼,以獲取敏感信息或劫持用戶會(huì)話。


解決辦法:

可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的SQL注入防護(hù)模塊來解決該漏洞問題,該模塊除了防SQL注入,還可以防跨站腳本漏洞。不止對(duì)該漏洞有效,對(duì)網(wǎng)站所有SQL注入和跨腳本漏洞都可以防護(hù)。



1、XSS跨站攻擊防護(hù)和SQL注入防護(hù)

護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊(如圖一)除了攔截SQL注入,還可以攔截XSS跨站腳本攻擊(如圖二),一并解決YesWiki的其他安全漏洞,攔截效果如圖三。


YesWiki防SQL注入防護(hù)模塊

(圖一:YesWiki防SQL注入防護(hù)模塊)



YesWiki防XSS跨站腳本攻擊防護(hù)

(圖二:YesWiki防XSS跨站腳本攻擊防護(hù))



SQL注入攔截效果

(圖三:SQL注入攔截效果)