Wuzhi CMS 4.1.0 跨站脚本漏洞

漏洞描述

Wuzhi CMS是一款高性能的开源内容管理系统,支持LNAMP架构,适合门户网站、企业网站建站、手机网站、微信推广。Wuzhi CMS底层采用MVC架构,支持框架和www可访问路径分离部署,支持数据库读写分离,支持大数据。

Wuzhi CMS已被证明存在一个反射性跨站脚本漏洞,该漏洞允许在受害者的浏览器中执行任意HTML或脚本代码。

CVE-2018-10313存在xss漏洞的url路径是index.php?m=member&f=index&v=profile&set_iframe=1

CVE-2018-10311存在xss漏洞的url路径是index.php?m=tags&f=index&v=add&&_su=wuzhicms&_menuid=?&_submenuid=?

攻击者可以在受害者的浏览器中执行恶意代码来执行各种活动,例如窃取cookie,会话令牌,凭证和个人数据等。

解决方案

1.目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:https://www.wuzhicms.com/download/

2.购买深信服下一代防火墙的用户,可以开启WAF防御模块,可轻松防御此类漏洞。