迅睿CMS（XunRuiCMS）基于MIT開(kāi)源協(xié)議發(fā)布，免費(fèi)且不限制商業(yè)使用，是一款非常優(yōu)秀的免費(fèi)開(kāi)源產(chǎn)品，允許開(kāi)發(fā)者自由修改前后臺(tái)界面中的版權(quán)信息，包括使用，復(fù)制，修改，合并，發(fā)表，分發(fā)，再授權(quán)，或者銷(xiāo)售。

國(guó)家信息安全漏洞共享平臺(tái)于2025-01-10公布該程序存在跨站腳本漏洞。

漏洞編號(hào)：CVE-2023-43962、CNVD-2025-00979

影響產(chǎn)品：Xunrui CMS v4.6.1

漏洞級(jí)別：中

公布時(shí)間：2025-01-10

漏洞描述：XunRui CMS v4.6.1版本存在跨站腳本漏洞，該漏洞源于系統(tǒng)對(duì)用戶(hù)提供的數(shù)據(jù)缺乏有效過(guò)濾與轉(zhuǎn)義，攻擊者可以利用該漏洞，通過(guò)項(xiàng)目設(shè)置頁(yè)簽中的項(xiàng)目名稱(chēng)功能執(zhí)行任意Web腳本或HTML代碼，以獲取敏感信息或劫持用戶(hù)會(huì)話(huà)。

解決辦法：

可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的SQL注入防護(hù)模塊來(lái)解決該漏洞問(wèn)題，該模塊除了防SQL注入，還可以防跨站腳本漏洞。不止對(duì)該漏洞有效，對(duì)網(wǎng)站所有SQL注入和跨腳本漏洞都可以防護(hù)。

1、SQL注入防護(hù)和XSS跨站攻擊防護(hù)

『護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊（如圖一）除了攔截SQL注入，還可以攔截XSS跨站腳本（如圖二），一并解決迅睿CMS的其他安全漏洞，攔截效果如圖三。

（圖一：SQL注入防護(hù)模塊）

（圖二：XSS跨站腳本攻擊防護(hù)）

（圖三：SQL注入攔截效果）

2、防篡改保護(hù)

如果對(duì)安全要求較高，還可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護(hù)”模塊，對(duì)迅睿CMS做防篡改保護(hù)。

在“篡改防護(hù)-添加CMS防護(hù)”（如圖四）。選擇網(wǎng)站目錄，安全模板選擇“迅睿CMS安全模板”，并填寫(xiě)正確的后臺(tái)地址，點(diǎn)擊“確定”按鈕，就添加好了。

護(hù)衛(wèi)神.防入侵系統(tǒng)內(nèi)置有迅睿CMS的篡改防護(hù)規(guī)則，只需簡(jiǎn)單設(shè)置即可解決，非常方便！

（圖四：添加迅睿CMS防篡改規(guī)則）

設(shè)置好以后，防入侵系統(tǒng)就會(huì)對(duì)后臺(tái)進(jìn)行保護(hù)，后期訪(fǎng)問(wèn)時(shí)需要先驗(yàn)證授權(quán)密碼（如圖五），只有輸入了正確的密碼才能訪(fǎng)問(wèn)。

（圖五：訪(fǎng)問(wèn)后臺(tái)需要輸入授權(quán)密碼）