10秒后自動(dòng)關(guān)閉
FoxCMS(黔狐CMS)最新文件SQL注入漏洞(CNVD-2025-09239、CVE-2025-29181)

FoxCMS是一套可免費(fèi)商用開源的內(nèi)容管理系統(tǒng),采用PHP+MySQL架構(gòu)。內(nèi)置企業(yè)常用的內(nèi)容模型,如單頁、文章、產(chǎn)品、圖集、視頻、反饋、下載等,并配備豐富的模板標(biāo)簽及強(qiáng)大的SEO和偽靜態(tài)優(yōu)化機(jī)制。無需復(fù)雜編程技能,僅需掌握HTML即可快速構(gòu)建出多元化的應(yīng)用場景,實(shí)現(xiàn)內(nèi)容的高效管理。


國家信息安全漏洞共享平臺(tái)于2025-05-07公布該程序存在代碼SQL注入漏洞。

漏洞編號:CNVD-2025-09239、CVE-2025-29181

影響產(chǎn)品:FoxCMS <=1.25

漏洞級別

公布時(shí)間:2025-05-07

漏洞描述:FoxCMS 1.25及之前版本存在SQL注入漏洞,該漏洞源于/admin/util/Field.php中$param[title]參數(shù)缺少對外部輸入SQL語句的驗(yàn)證。攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù)。


解決辦法:

廠商暫未發(fā)布補(bǔ)丁,你可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的“注入防護(hù)”模塊來解決該注入漏洞,不止對該漏洞有效,對網(wǎng)站所有的SQL注入漏洞和跨腳本漏洞都可以防護(hù)。



1、SQL注入防護(hù)和XSS跨站攻擊防護(hù)

『護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊(如圖一)除了攔截SQL注入,還可以攔截XSS跨站腳本(如圖二),一并解決FoxCMS的其他安全漏洞,攔截效果如圖三。


FoxCMS防護(hù)SQL注入攻擊

(圖一:FoxCMS防護(hù)SQL注入攻擊)



FoxCMS防護(hù)XSS跨站腳本攻擊

(圖二:FoxCMS防護(hù)XSS跨站腳本攻擊)



SQL注入攔截效果

(圖三:SQL注入攔截效果)