10秒后自動關(guān)閉
FoxCMS(黔狐CMS)最新文件SQL注入漏洞(CNVD-2025-09239、CVE-2025-29181)

FoxCMS是一套可免費商用開源的內(nèi)容管理系統(tǒng),采用PHP+MySQL架構(gòu)。內(nèi)置企業(yè)常用的內(nèi)容模型,如單頁、文章、產(chǎn)品、圖集、視頻、反饋、下載等,并配備豐富的模板標簽及強大的SEO和偽靜態(tài)優(yōu)化機制。無需復(fù)雜編程技能,僅需掌握HTML即可快速構(gòu)建出多元化的應(yīng)用場景,實現(xiàn)內(nèi)容的高效管理。


國家信息安全漏洞共享平臺于2025-05-07公布該程序存在代碼SQL注入漏洞。

漏洞編號:CNVD-2025-09239、CVE-2025-29181

影響產(chǎn)品:FoxCMS <=1.25

漏洞級別

公布時間:2025-05-07

漏洞描述:FoxCMS 1.25及之前版本存在SQL注入漏洞,該漏洞源于/admin/util/Field.php中$param[title]參數(shù)缺少對外部輸入SQL語句的驗證。攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù)。


解決辦法:

廠商暫未發(fā)布補丁,你可以使用『護衛(wèi)神·防入侵系統(tǒng)』的“注入防護”模塊來解決該注入漏洞,不止對該漏洞有效,對網(wǎng)站所有的SQL注入漏洞和跨腳本漏洞都可以防護。



1、SQL注入防護和XSS跨站攻擊防護

『護衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護模塊(如圖一)除了攔截SQL注入,還可以攔截XSS跨站腳本(如圖二),一并解決FoxCMS的其他安全漏洞,攔截效果如圖三。


FoxCMS防護SQL注入攻擊

(圖一:FoxCMS防護SQL注入攻擊)



FoxCMS防護XSS跨站腳本攻擊

(圖二:FoxCMS防護XSS跨站腳本攻擊)



SQL注入攔截效果

(圖三:SQL注入攔截效果)