10秒后自動關閉
OneBlog最新模板注入漏洞(CNVD-2025-06047、CVE-2024-54954)

OneBlog是一款基于Java的開源博客系統(tǒng),采用Spring Boot和Bootstrap開發(fā),支持移動端自適應。它提供多種編輯器、廣告管理、自動友鏈申請、SEO優(yōu)化等豐富功能,配備完善的后臺管理系統(tǒng)。系統(tǒng)支持Docker一鍵部署,集成七牛云等文件存儲,并具備文章搬運工、實時通訊等特色工具。界面簡潔美觀,適配多場景需求,適合個人創(chuàng)作、教學分享及團隊知識管理。最新優(yōu)化包括CDN配置、定時任務及第三方登錄支持,致力于提供安全、高效的博客解決方案。


國家信息安全漏洞共享平臺于2025-03-28公布其存在跨站腳本漏洞。

漏洞編號:CNVD-2025-06047、CVE-2024-54954

影響產品:OneBlog 2.3.6

漏洞級別

公布時間:2025-03-28

漏洞描述:目前沒有公布詳細的漏洞細節(jié),只提示存在模板注入漏洞。


解決辦法:

目前廠商尚未發(fā)布修復補丁。如果是注入漏洞,可以使用『護衛(wèi)神·防入侵系統(tǒng)』的SQL注入防護模塊來解決該漏洞問題,該模塊除了防SQL注入,還可以防跨站腳本漏洞。不止對該漏洞有效,對所有SQL注入和跨腳本漏洞都可以防護。


1、SQL注入防護和XSS跨站攻擊防護

護衛(wèi)神·防入侵系統(tǒng)的SQL注入防護模塊(如圖一)除了攔截SQL注入,還可以攔截xss跨站腳本,一并解決OneBlog的其他注入漏洞,攔截效果如圖三。


SQL注入防護模塊

(圖一:SQL注入防護模塊)



xss攻擊防護

(圖二:XSS跨站腳本攻擊防護)



SQL注入攔截效果

(圖三:SQL注入攔截效果)