惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

L
LINUX DO - 最新话题
G
Google Developers Blog
J
Java Code Geeks
The GitHub Blog
The GitHub Blog
F
Full Disclosure
H
Help Net Security
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Vercel News
Vercel News
酷 壳 – CoolShell
酷 壳 – CoolShell
Recent Announcements
Recent Announcements
Help Net Security
Help Net Security
The Hacker News
The Hacker News
IT之家
IT之家
Y
Y Combinator Blog
Martin Fowler
Martin Fowler
L
Lohrmann on Cybersecurity
C
CERT Recently Published Vulnerability Notes
V
Visual Studio Blog
博客园 - 聂微东
Hacker News: Ask HN
Hacker News: Ask HN
H
Hacker News: Front Page
Know Your Adversary
Know Your Adversary
Security Latest
Security Latest
Security Archives - TechRepublic
Security Archives - TechRepublic
Simon Willison's Weblog
Simon Willison's Weblog
www.infosecurity-magazine.com
www.infosecurity-magazine.com
T
Troy Hunt's Blog
Last Week in AI
Last Week in AI
Schneier on Security
Schneier on Security
N
News and Events Feed by Topic
博客园 - 【当耐特】
有赞技术团队
有赞技术团队
AWS News Blog
AWS News Blog
Blog — PlanetScale
Blog — PlanetScale
博客园_首页
Google DeepMind News
Google DeepMind News
Cloudbric
Cloudbric
N
News | PayPal Newsroom
A
About on SuperTechFans
S
Schneier on Security
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
Hugging Face - Blog
Hugging Face - Blog
M
MIT News - Artificial intelligence
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
雷峰网
雷峰网
T
The Exploit Database - CXSecurity.com
罗磊的独立博客
K
Kaspersky official blog
The Cloudflare Blog
I
Intezer

博客园 - 护卫神

腾讯云如何在安全组开放端口 Windows服务器如何免费防篡改 服务器为什么要拦截恶意网址,如何拦截? Linux服务器如何进行安全加固,防止黑客攻击(Windows也适用) 如何拦截恶意IP访问服务器 当网站被黑时,应该怎么排查问题和漏洞 Chamilo存在命令注入漏洞(CNVD-2026-14971、CVE-2025-50196) Linux服务器如何防止网页被篡改 Chamilo存在SQL注入漏洞(CNVD-2026-13257,CVE-2025-50190) ChurchCRM SQL注入漏洞(CNVD-2026-12565、CVE-2026-24854) 如何排查网站后门文件 网站流量异常暴增怎么办? ECShop存在逻辑缺陷漏洞(CNVD-2025-08499) 迅睿CMS最新SQL注入漏洞及解决方法(CNVD-2025-08495) phpIPAM跨站脚本漏洞及解决方法(CNVD-2025-06929、CVE-2024-55093) 打开网站出现色情内容怎么办? 《筑牢服务器安全的“钢铁长城”》 PHPGurukul Men Salon Management System最新SQL注入漏洞及解决方法(CVE-2025-3370) Windows有哪些危险系统服务,如何关闭? WordPress Shuffle plugin SQL注入漏洞及解决办法(CNVD-2025-06478、CVE-2025-28873) MRCMS(蘑菇建站)跨站脚本漏洞及解决方法(CNVD-2025-05252、CVE-2025-2195) OneBlog最新模板注入漏洞(CNVD-2025-06047、CVE-2024-54954) WordPress防SQL注入攻击和XSS跨站脚本攻击方法 Linux服务器如何提升SSH安全,如何登录发送消息通知
YzmCMS最新跨站脚本漏洞及解决方法(CNVD-2025-08792、CVE-2025-3397)
护卫神 · 2025-05-09 · via 博客园 - 护卫神

YzmCMS是一款轻量级开源内容管理系统,基于PHP+MySQL架构开发,采用MVC模式。它具有源码简洁、体积小巧、安全性高、易于部署等特点。系统支持多平台运行,如Linux、Windows等,适合搭建企业网站、个人博客、门户网站等各类站点。其后台操作便捷,即使无专业技术也能快速上手,还提供方便的二次开发体系,能满足多样化的建站需求,是一款高效实用的全能型建站系统。

国家信息安全漏洞共享平台于2025-04-24公布该插件存在XSS跨站脚本漏洞漏洞。

漏洞编号:CNVD-2025-08792、CVE-2025-3397

影响产品:YzmCMS 7.1

漏洞级别:中

公布时间:2025-04-24

漏洞描述:该漏洞源于message.tpl中gourl参数处理不当,攻击者利用该漏洞可以通过注入恶意代码执行任意Web脚本或HTML。

解决办法:

目前厂商尚未发布修复补丁。可以使用『护卫神·防入侵系统』的XSS注入防护模块来解决该问题,不止对该漏洞有效,对所有XSS跨脚本漏洞都可以防护。

1、XSS跨站脚本攻击防护

护卫神·防入侵系统』的XSS注入防护模块(如下图一),专门用于拦截跨站脚本攻击,默认已开启。

YzmCMS XSS注入防护模块

(图一:YzmCMS XSS注入防护模块)

原文:https://www.hws.com/help/tech/1911.html