10秒后自動關(guān)閉
YzmCMS最新跨站腳本漏洞及解決方法(CNVD-2025-08792、CVE-2025-3397)

YzmCMS是一款輕量級開源內(nèi)容管理系統(tǒng),基于PHP+MySQL架構(gòu)開發(fā),采用MVC模式。它具有源碼簡潔、體積小巧、安全性高、易于部署等特點。系統(tǒng)支持多平臺運行,如Linux、Windows等,適合搭建企業(yè)網(wǎng)站、個人博客、門戶網(wǎng)站等各類站點。其后臺操作便捷,即使無專業(yè)技術(shù)也能快速上手,還提供方便的二次開發(fā)體系,能滿足多樣化的建站需求,是一款高效實用的全能型建站系統(tǒng)。


國家信息安全漏洞共享平臺于2025-04-24公布該插件存在XSS跨站腳本漏洞漏洞。

漏洞編號:CNVD-2025-08792、CVE-2025-3397

影響產(chǎn)品:YzmCMS 7.1

漏洞級別

公布時間:2025-04-24

漏洞描述:該漏洞源于message.tpl中g(shù)ourl參數(shù)處理不當,攻擊者利用該漏洞可以通過注入惡意代碼執(zhí)行任意Web腳本或HTML。



解決辦法:

目前廠商尚未發(fā)布修復(fù)補丁。可以使用『護衛(wèi)神·防入侵系統(tǒng)』的XSS注入防護模塊來解決該問題,不止對該漏洞有效,對所有XSS跨腳本漏洞都可以防護。



1、XSS跨站腳本攻擊防護

護衛(wèi)神·防入侵系統(tǒng)』的XSS注入防護模塊(如下圖一),專門用于攔截跨站腳本攻擊,默認已開啟。


YzmCMS XSS注入防護模塊

(圖一:YzmCMS XSS注入防護模塊)