10秒后自動(dòng)關(guān)閉
RedaxoCMS任意文件上傳漏洞及解決辦法(CVE-2024-46210、CNVD-2025-05394)

REDAXO是一款基于PHP+MySQL的開源內(nèi)容管理系統(tǒng)(CMS),自2004年起便致力于提供簡單且靈活的內(nèi)容管理解決方案。它采用模塊化設(shè)計(jì),支持用戶通過安裝插件擴(kuò)展功能,適用于從小型到中型規(guī)模的網(wǎng)站和網(wǎng)絡(luò)應(yīng)用。REDAXO遵循開源許可協(xié)議,允許用戶自由使用、修改和分發(fā)軟件,其源代碼開放,促進(jìn)了社區(qū)的協(xié)作和創(chuàng)新。


國家信息安全漏洞共享平臺于2025-03-07公布其存在跨站腳本漏洞。

漏洞編號:CVE-2024-46210、CNVD-2025-05394

影響產(chǎn)品:REDAXO CMS 5.17.1

漏洞級別

公布時(shí)間:2025-03-07

漏洞描述:Redaxo CMS 5.17.1版本的 MediaPool 模塊存在任意文件上傳漏洞,攻擊者可利用該漏洞上傳特制的文件執(zhí)行任意代碼,例如上傳webshell(網(wǎng)頁木馬和后門)。



解決辦法:

目前廠商已經(jīng)發(fā)布修復(fù)補(bǔ)丁,地址:https://gist.github.com/h4ckr4v3n/26eaa57d94f749b597ede8b404c234df

你也可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』徹底杜絕文件上傳漏洞,一勞永逸。通過驅(qū)動(dòng)級防篡改技術(shù),讓非法上傳漏洞再也不會(huì)出現(xiàn)。


1、防篡改保護(hù)

在“篡改防護(hù)-添加CMS防護(hù)”(如圖一)。選擇網(wǎng)站目錄,安全模板選擇“RedaxoCMS安全模板”,并填寫正確的后臺地址,點(diǎn)擊“確定”按鈕,就添加好了。

護(hù)衛(wèi)神.防入侵系統(tǒng)內(nèi)置有RedaxoCMS的篡改防護(hù)規(guī)則,只需簡單設(shè)置即可解決,非常方便!

添加RedaxoCMS防篡改規(guī)則

(圖一:添加RedaxoCMS防篡改規(guī)則)



設(shè)置好以后,防入侵系統(tǒng)就會(huì)對后臺進(jìn)行保護(hù),后期訪問時(shí)需要先驗(yàn)證授權(quán)密碼(如圖二),只有輸入了正確的密碼才能訪問。

網(wǎng)站后臺保護(hù)

(圖二:訪問后臺需要驗(yàn)證授權(quán)密碼)


驗(yàn)證通過后,就可以進(jìn)入后臺登錄頁面了。

RedaxoCMS后臺登錄

(圖三:RedaxoCMS后臺登錄)