Typecho <= 1.2.0 版本评论爆出严重的存储型XSS漏洞

01121
图片[1]-Typecho-阿宅学院

漏洞发现

发现于2023年3月25号

影响版本

Typecho <= 1.2.0 版本
https://github.com/typecho/typecho/issues/1545
https://github.com/typecho/typecho/issues/1546

漏洞复现

图片[2]-Typecho-阿宅学院
图片[3]-Typecho-阿宅学院

漏洞公开POC

目前 此漏洞公开的POC有:

  1. 获取Cookie
  2. 通过404.php写入一句话木马

这个漏洞危险系数很高,可以直接前台拿Shell。

图片[4]-Typecho-阿宅学院

修复建议

更新到最新版 > https://github.com/typecho/typecho/releases/tag/v1.2.1-rc

  1. 最新版1.2.1Rc已经修复此漏洞,大家应该尽快更新到最新版本。
  2. 直接从数据库里面删除评论,千万不要从后台删除,否则会被xss代码拿到cookie!
    © 版权声明
    网站内容来源于网络,如有侵权,请联系我们,我们将及时处理。
    分享是一种美德,当你分享时请你附带上本文链接。
    THE END
    随便水水
    # Typecho# 漏洞# xss
    支持博主,更新加速
    点赞1 分享
    生草博客站长的头像-阿宅学院
    子比美化之悬浮按钮繁简体切换方式-阿宅学院
    子比美化之悬浮按钮繁简体切换方式
    子比美化之悬浮按钮繁简体切换方式
    2023年5月15日 195
    分享一个为网站所有用户批量设置为VIP会员的代码-阿宅学院
    分享一个为网站所有用户批量设置为VIP会员的代码
    分享一个为网站所有用户批量设置为VIP会员的代码
    2023年5月28日 172
    WordPress中实现每篇文章只允许用户评论一次-阿宅学院
    WordPress中实现每篇文章只允许用户评论一次
    WordPress中实现每篇文章只允许用户评论一次
    2023年3月22日 160
    子比主题配置评论显示所在IP地区和使用设备-阿宅学院
    子比主题配置评论显示所在IP地区和使用设备
    子比主题配置评论显示所在IP地区和使用设备
    2022年11月16日 152
    子比美化之h6标题美化css彩虹文字特效-阿宅学院
    子比美化之h6标题美化css彩虹文字特效
    子比美化之h6标题美化css彩虹文字特效
    2023年5月15日 150
    国内服务器安装chatgpt-turbo-3.5镜像(Docker)-阿宅学院
    国内服务器安装chatgpt-turbo-3.5镜像(Docker)
    国内服务器安装chatgpt-turbo-3.5镜像(Docker)
    2024年1月29日 149
    勋章统计

    随机推荐
    钉钉刷赞装13小技巧-阿宅学院
    钉钉刷赞装13小技巧
    钉钉刷赞装13小技巧
    2021年9月29日 77
    三款Typecho后台美化插件-阿宅学院
    三款Typecho后台美化插件
    三款Typecho后台美化插件
    2022年10月25日 86
    Vol.2 同是同窗苦读,怎愿甘拜下风。-阿宅学院
    Vol.2 同是同窗苦读,怎愿甘拜下风。
    Vol.2 同是同窗苦读,怎愿甘拜下风。
    2021年6月7日 295
    作为开发者你必须要知道的五大浏览器,记得收藏-阿宅学院
    作为开发者你必须要知道的五大浏览器,记得收藏
    作为开发者你必须要知道的五大浏览器,记得收藏
    2022年8月2日 76
    解决Typecho更改php版本出现”Database Server Error”错误-阿宅学院
    解决Typecho更改php版本出现”Database Server Error”错误
    解决Typecho更改php版本出现”Database Server Error”错误
    2022年7月28日 32
    评论一下 抢沙发

    请登录后发表评论

      请登录后查看评论内容