10秒后自動(dòng)關(guān)閉
MRCMS(蘑菇建站)跨站腳本漏洞及解決方法(CNVD-2025-05252、CVE-2025-2195)

MRCMS(蘑菇建站)是一款基于Java開(kāi)發(fā)的開(kāi)源內(nèi)容管理系統(tǒng),專為中小型網(wǎng)站設(shè)計(jì)。它支持跨平臺(tái)運(yùn)行,功能完善,易于部署和擴(kuò)展。MRCMS通過(guò)數(shù)據(jù)模型、模板和插件實(shí)現(xiàn)靈活定制,滿足企業(yè)官網(wǎng)、個(gè)人博客、行業(yè)門(mén)戶等多樣化需求。其遵循GPL開(kāi)源協(xié)議,擁有活躍的社區(qū)支持,是Java開(kāi)發(fā)者構(gòu)建高效網(wǎng)站的理想選擇。


國(guó)家信息安全漏洞共享平臺(tái)于2025-03-17公布其存在跨站腳本漏洞。

漏洞編號(hào):CNVD-2025-05252、CVE-2025-2195

影響產(chǎn)品:MRCMS 3.1.2

漏洞級(jí)別

公布時(shí)間:2025-03-17

漏洞描述:該漏洞源于對(duì)參數(shù)名稱/路徑的操作未進(jìn)行充分過(guò)濾,攻擊者可以利用該漏洞注入惡意腳本,導(dǎo)致Cookie被竊取、會(huì)話劫持、釣魚(yú)攻擊等。


解決辦法:

官方已經(jīng)發(fā)布補(bǔ)丁,請(qǐng)到https://www.mrcms.cn/download.html查看。

同時(shí)你也可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的SQL注入防護(hù)模塊來(lái)解決該漏洞問(wèn)題,該模塊除了防SQL注入,還可以防跨站腳本漏洞。不止對(duì)該漏洞有效,對(duì)所有SQL注入和跨腳本漏洞都可以防護(hù)。


1、SQL注入防護(hù)和XSS跨站攻擊防護(hù)

護(hù)衛(wèi)神·防入侵系統(tǒng)的SQL注入防護(hù)模塊(如圖一)除了攔截SQL注入,還可以攔截xss跨站腳本,一并解決OneBlog的其他注入漏洞,攔截效果如圖三。

SQL注入防護(hù)模塊

(圖一:SQL注入防護(hù)模塊)



xss攻擊防護(hù)

(圖二:XSS跨站腳本攻擊防護(hù))



SQL注入攔截效果

(圖三:SQL注入攔截效果)