10秒后自動(dòng)關(guān)閉
YzmCMS最新跨站腳本漏洞及解決方法(CNVD-2025-08792、CVE-2025-3397)

YzmCMS是一款輕量級(jí)開源內(nèi)容管理系統(tǒng),基于PHP+MySQL架構(gòu)開發(fā),采用MVC模式。它具有源碼簡(jiǎn)潔、體積小巧、安全性高、易于部署等特點(diǎn)。系統(tǒng)支持多平臺(tái)運(yùn)行,如Linux、Windows等,適合搭建企業(yè)網(wǎng)站、個(gè)人博客、門戶網(wǎng)站等各類站點(diǎn)。其后臺(tái)操作便捷,即使無專業(yè)技術(shù)也能快速上手,還提供方便的二次開發(fā)體系,能滿足多樣化的建站需求,是一款高效實(shí)用的全能型建站系統(tǒng)。


國(guó)家信息安全漏洞共享平臺(tái)于2025-04-24公布該插件存在XSS跨站腳本漏洞漏洞。

漏洞編號(hào):CNVD-2025-08792、CVE-2025-3397

影響產(chǎn)品:YzmCMS 7.1

漏洞級(jí)別

公布時(shí)間:2025-04-24

漏洞描述:該漏洞源于message.tpl中g(shù)ourl參數(shù)處理不當(dāng),攻擊者利用該漏洞可以通過注入惡意代碼執(zhí)行任意Web腳本或HTML。



解決辦法:

目前廠商尚未發(fā)布修復(fù)補(bǔ)丁。可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的XSS注入防護(hù)模塊來解決該問題,不止對(duì)該漏洞有效,對(duì)所有XSS跨腳本漏洞都可以防護(hù)。



1、XSS跨站腳本攻擊防護(hù)

護(hù)衛(wèi)神·防入侵系統(tǒng)』的XSS注入防護(hù)模塊(如下圖一),專門用于攔截跨站腳本攻擊,默認(rèn)已開啟。


YzmCMS XSS注入防護(hù)模塊

(圖一:YzmCMS XSS注入防護(hù)模塊)