专业编程基础技术教程

网站首页 > 基础教程 正文

西邮冯景瑜团队挖掘到CVE漏洞,被国家信息安全漏洞库收录公布

ccvgpt 2024-11-23 11:54:22 基础教程 1 ℃

近日,西安邮电大学网络空间安全学院冯景瑜副教授带领的系统与数据安全团队,挖掘到一个CVE漏洞——ZZCMS绕过登录漏洞,该漏洞已被国家信息安全漏洞库收录公布,同时被全球知名漏洞披露平台“Common Vulnerabilities & Exposures”收录(编号为CVE-2021-43703)。

西安邮电大学系统与数据安全团队一直致力于网络空间安全领域的漏洞挖掘研究和探索,在冯景瑜副教授悉心指导下,网络空间安全学院2021级研究生刘正波、刘宇航同学在对开源的内容管理系统(content management system,CMS)进行漏洞挖掘,发现其中的ZZCMS存在一个未授权访问漏洞,禁用浏览器的JavaScript后可以直接访问网站后台,该漏洞可导致未授权用户可以绕过登陆,进入后台执行任意操作。针对漏洞安全威胁,系统与数据安全团队通过更新到最新版本或者在该系统文件admin/admin.php第16行添加exit()或die()解决该漏洞问题。

西邮冯景瑜团队挖掘到CVE漏洞,被国家信息安全漏洞库收录公布

冯景瑜老师长期专注于大数据安全和网络攻防研究,并在这一领域取得优异成绩。2019年,他曾在国际顶级期刊IEEE Internet of Things Journal(SCI一区,IF:9.515),发表题为"Securing Traffic-related Messages Exchange against Inside-and-outside Collusive Attack in Vehicular Networks"的研究论文,对车联网领域的潜在安全威胁及其防御机制进行研究。该研究发现车联网路况信息交互中存在的内外合谋攻击可能危及交通安全问题,对此创新性地将信任波动融入于关联数据分析,设计出了内外合谋攻击的防御机制。同时,为了解决防御机制设计所需的无中心信任数据管理问题,引入联盟区块链技术应用于车联网区域划分,提出了一种新颖的半分布式信任数据存储算法。

获取更多精彩资讯,敬请关注“西安邮电大学”头条号!

本文素材来源:西邮新闻网、西安邮电大学官微

Tags:

最近发表
标签列表