惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

TaoSecurity Blog
TaoSecurity Blog
L
LINUX DO - 最新话题
Help Net Security
Help Net Security
N
News | PayPal Newsroom
www.infosecurity-magazine.com
www.infosecurity-magazine.com
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
The Last Watchdog
The Last Watchdog
S
Security @ Cisco Blogs
W
WeLiveSecurity
C
CXSECURITY Database RSS Feed - CXSecurity.com
Webroot Blog
Webroot Blog
T
Troy Hunt's Blog
V
Vulnerabilities – Threatpost
Google Online Security Blog
Google Online Security Blog
N
News and Events Feed by Topic
T
Threat Research - Cisco Blogs
Security Archives - TechRepublic
Security Archives - TechRepublic
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
T
Tor Project blog
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
D
Darknet – Hacking Tools, Hacker News & Cyber Security
PCI Perspectives
PCI Perspectives
Google DeepMind News
Google DeepMind News
T
Tailwind CSS Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Apple Machine Learning Research
Apple Machine Learning Research
IT之家
IT之家
S
SegmentFault 最新的问题
J
Java Code Geeks
P
Privacy & Cybersecurity Law Blog
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
博客园 - 【当耐特】
博客园_首页
H
Hacker News: Front Page
T
Threatpost
Jina AI
Jina AI
博客园 - Franky
月光博客
月光博客
L
LINUX DO - 热门话题
The Cloudflare Blog
H
Heimdal Security Blog
博客园 - 司徒正美
酷 壳 – CoolShell
酷 壳 – CoolShell
Cloudbric
Cloudbric
雷峰网
雷峰网
Hugging Face - Blog
Hugging Face - Blog
S
Secure Thoughts
T
Tenable Blog
I
Intezer
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻

博客园 - 护卫神

腾讯云如何在安全组开放端口 Windows服务器如何免费防篡改 服务器为什么要拦截恶意网址,如何拦截? Linux服务器如何进行安全加固,防止黑客攻击(Windows也适用) 如何拦截恶意IP访问服务器 当网站被黑时,应该怎么排查问题和漏洞 Chamilo存在命令注入漏洞(CNVD-2026-14971、CVE-2025-50196) Linux服务器如何防止网页被篡改 Chamilo存在SQL注入漏洞(CNVD-2026-13257,CVE-2025-50190) ChurchCRM SQL注入漏洞(CNVD-2026-12565、CVE-2026-24854) 如何排查网站后门文件 网站流量异常暴增怎么办? ECShop存在逻辑缺陷漏洞(CNVD-2025-08499) 迅睿CMS最新SQL注入漏洞及解决方法(CNVD-2025-08495) phpIPAM跨站脚本漏洞及解决方法(CNVD-2025-06929、CVE-2024-55093) 打开网站出现色情内容怎么办? 《筑牢服务器安全的“钢铁长城”》 PHPGurukul Men Salon Management System最新SQL注入漏洞及解决方法(CVE-2025-3370) Windows有哪些危险系统服务,如何关闭? WordPress Shuffle plugin SQL注入漏洞及解决办法(CNVD-2025-06478、CVE-2025-28873) MRCMS(蘑菇建站)跨站脚本漏洞及解决方法(CNVD-2025-05252、CVE-2025-2195) OneBlog最新模板注入漏洞(CNVD-2025-06047、CVE-2024-54954) WordPress防SQL注入攻击和XSS跨站脚本攻击方法 Linux服务器如何提升SSH安全,如何登录发送消息通知
YzmCMS最新跨站脚本漏洞及解决方法(CNVD-2025-08792、CVE-2025-3397)
护卫神 · 2025-05-09 · via 博客园 - 护卫神

YzmCMS是一款轻量级开源内容管理系统,基于PHP+MySQL架构开发,采用MVC模式。它具有源码简洁、体积小巧、安全性高、易于部署等特点。系统支持多平台运行,如Linux、Windows等,适合搭建企业网站、个人博客、门户网站等各类站点。其后台操作便捷,即使无专业技术也能快速上手,还提供方便的二次开发体系,能满足多样化的建站需求,是一款高效实用的全能型建站系统。

国家信息安全漏洞共享平台于2025-04-24公布该插件存在XSS跨站脚本漏洞漏洞。

漏洞编号:CNVD-2025-08792、CVE-2025-3397

影响产品:YzmCMS 7.1

漏洞级别:中

公布时间:2025-04-24

漏洞描述:该漏洞源于message.tpl中gourl参数处理不当,攻击者利用该漏洞可以通过注入恶意代码执行任意Web脚本或HTML。

解决办法:

目前厂商尚未发布修复补丁。可以使用『护卫神·防入侵系统』的XSS注入防护模块来解决该问题,不止对该漏洞有效,对所有XSS跨脚本漏洞都可以防护。

1、XSS跨站脚本攻击防护

护卫神·防入侵系统』的XSS注入防护模块(如下图一),专门用于拦截跨站脚本攻击,默认已开启。

YzmCMS XSS注入防护模块

(图一:YzmCMS XSS注入防护模块)

原文:https://www.hws.com/help/tech/1911.html