10秒后自動關(guān)閉
ZZCMS存在SQL注入漏洞(CNVD-2024-43213、CVE-2024-10291)

ZZCMS是一款用于搭建招商網(wǎng)站的CMS系統(tǒng),由PHP語言開發(fā)。


國家信息安全漏洞共享平臺于2024-11-06公布其存在SQL注入漏洞。

漏洞編號:CNVD-2024-43213、CVE-2024-10291

影響產(chǎn)品:ZZCMS 2023

漏洞級別:

公布時(shí)間:2024-11-06

漏洞描述:漏洞位于源文件“/Ebak5.1/upload/phome.php”中的參數(shù)“phome”,缺少對外部輸入SQL命令的安全驗(yàn)證,黑客可利用該漏洞執(zhí)行SQL注入攻擊,篡改數(shù)據(jù)庫或拖庫等非法操作。


解決辦法:

準(zhǔn)確說,這個(gè)漏洞不是ZZCMS自身的注入漏洞,而是其自帶的Ebak(帝國備份王)存在的注入漏洞。解決起來也很簡單:刪除 /Ebak5.1/ 目錄即可。

如果您不想刪除,則建議使用 護(hù)衛(wèi)神·防入侵系統(tǒng),自帶SQL注入防護(hù)功能,可有效攔截黑客SQL注入攻擊(效果如下圖)。

(攔截SQL注入效果圖)