10秒后自動關閉
RedaxoCMS任意文件上傳漏洞及解決辦法(CVE-2024-46210、CNVD-2025-05394)

REDAXO是一款基于PHP+MySQL的開源內容管理系統(tǒng)(CMS),自2004年起便致力于提供簡單且靈活的內容管理解決方案。它采用模塊化設計,支持用戶通過安裝插件擴展功能,適用于從小型到中型規(guī)模的網站和網絡應用。REDAXO遵循開源許可協(xié)議,允許用戶自由使用、修改和分發(fā)軟件,其源代碼開放,促進了社區(qū)的協(xié)作和創(chuàng)新。


國家信息安全漏洞共享平臺于2025-03-07公布其存在跨站腳本漏洞。

漏洞編號:CVE-2024-46210、CNVD-2025-05394

影響產品:REDAXO CMS 5.17.1

漏洞級別

公布時間:2025-03-07

漏洞描述:Redaxo CMS 5.17.1版本的 MediaPool 模塊存在任意文件上傳漏洞,攻擊者可利用該漏洞上傳特制的文件執(zhí)行任意代碼,例如上傳webshell(網頁木馬和后門)。



解決辦法:

目前廠商已經發(fā)布修復補丁,地址:https://gist.github.com/h4ckr4v3n/26eaa57d94f749b597ede8b404c234df

你也可以使用『護衛(wèi)神·防入侵系統(tǒng)』徹底杜絕文件上傳漏洞,一勞永逸。通過驅動級防篡改技術,讓非法上傳漏洞再也不會出現(xiàn)。


1、防篡改保護

在“篡改防護-添加CMS防護”(如圖一)。選擇網站目錄,安全模板選擇“RedaxoCMS安全模板”,并填寫正確的后臺地址,點擊“確定”按鈕,就添加好了。

護衛(wèi)神.防入侵系統(tǒng)內置有RedaxoCMS的篡改防護規(guī)則,只需簡單設置即可解決,非常方便!

添加RedaxoCMS防篡改規(guī)則

(圖一:添加RedaxoCMS防篡改規(guī)則)



設置好以后,防入侵系統(tǒng)就會對后臺進行保護,后期訪問時需要先驗證授權密碼(如圖二),只有輸入了正確的密碼才能訪問。

網站后臺保護

(圖二:訪問后臺需要驗證授權密碼)


驗證通過后,就可以進入后臺登錄頁面了。

RedaxoCMS后臺登錄

(圖三:RedaxoCMS后臺登錄)