10秒后自動(dòng)關(guān)閉
Codezips Project Management System最新SQL注入漏洞(CNVD-2025-0097825)

Codezips Project Management System是一款項(xiàng)目管理系統(tǒng),提供項(xiàng)目管理、任務(wù)分配等功能。


國(guó)家信息安全漏洞共享平臺(tái)于2025-01-08公布該程序存在代碼注入漏洞。

漏洞編號(hào):CNVD-2025-00978

影響產(chǎn)品:Codezips Project Management System 1.0

漏洞級(jí)別

公布時(shí)間:2025-01-08

漏洞描述:Codezips Project Management System 1.0版本中的/pages/forms/advanced.php文件存在SQL注入漏洞,該漏洞源于對(duì)name參數(shù)的輸入驗(yàn)證不足。攻擊者可利用該漏洞執(zhí)行任意代碼,例如SQL注入、拖庫(kù)、刪庫(kù)等。


解決辦法:

目前廠商尚未發(fā)布升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問(wèn)題,因此必須使用第三方防護(hù)系統(tǒng)來(lái)解決。可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的“SQL注入防護(hù)”模塊來(lái)解決該注入漏洞,不止對(duì)該漏洞有效,對(duì)所有的SQL注入漏洞和跨腳本漏洞都可以防護(hù)。



1、SQL注入防護(hù)和XSS跨站攻擊防護(hù)

護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊(如圖一)除了攔截SQL注入,還可以攔截XSS跨站腳本(如圖二),一并解決Codezips Project Management System的其他安全漏洞,攔截效果如圖三。


SQL注入防護(hù)模塊

(圖一:SQL注入防護(hù)模塊)



xss攻擊防護(hù)

(圖二:XSS跨站腳本攻擊防護(hù))



SQL注入攔截效果

(圖三:SQL注入攔截效果)