Typecho <= 1.2.0 版本评论爆出严重的存储型XSS漏洞

01121
图片[1]-Typecho-阿宅学院

漏洞发现

发现于2023年3月25号

影响版本

Typecho <= 1.2.0 版本
https://github.com/typecho/typecho/issues/1545
https://github.com/typecho/typecho/issues/1546

漏洞复现

图片[2]-Typecho-阿宅学院
图片[3]-Typecho-阿宅学院

漏洞公开POC

目前 此漏洞公开的POC有:

  1. 获取Cookie
  2. 通过404.php写入一句话木马

这个漏洞危险系数很高,可以直接前台拿Shell。

图片[4]-Typecho-阿宅学院

修复建议

更新到最新版 > https://github.com/typecho/typecho/releases/tag/v1.2.1-rc

  1. 最新版1.2.1Rc已经修复此漏洞,大家应该尽快更新到最新版本。
  2. 直接从数据库里面删除评论,千万不要从后台删除,否则会被xss代码拿到cookie!
    © 版权声明
    网站内容来源于网络,如有侵权,请联系我们,我们将及时处理。
    分享是一种美德,当你分享时请你附带上本文链接。
    THE END
    随便水水
    # Typecho# 漏洞# xss
    支持博主,更新加速
    点赞1 分享
    生草博客站长的头像-阿宅学院
    子比美化之悬浮按钮繁简体切换方式-阿宅学院
    子比美化之悬浮按钮繁简体切换方式
    子比美化之悬浮按钮繁简体切换方式
    2023年5月15日 195
    分享一个为网站所有用户批量设置为VIP会员的代码-阿宅学院
    分享一个为网站所有用户批量设置为VIP会员的代码
    分享一个为网站所有用户批量设置为VIP会员的代码
    2023年5月28日 172
    WordPress中实现每篇文章只允许用户评论一次-阿宅学院
    WordPress中实现每篇文章只允许用户评论一次
    WordPress中实现每篇文章只允许用户评论一次
    2023年3月22日 160
    子比主题配置评论显示所在IP地区和使用设备-阿宅学院
    子比主题配置评论显示所在IP地区和使用设备
    子比主题配置评论显示所在IP地区和使用设备
    2022年11月16日 152
    子比美化之h6标题美化css彩虹文字特效-阿宅学院
    子比美化之h6标题美化css彩虹文字特效
    子比美化之h6标题美化css彩虹文字特效
    2023年5月15日 150
    国内服务器安装chatgpt-turbo-3.5镜像(Docker)-阿宅学院
    国内服务器安装chatgpt-turbo-3.5镜像(Docker)
    国内服务器安装chatgpt-turbo-3.5镜像(Docker)
    2024年1月29日 149
    勋章统计

    随机推荐
    解决Typecho更改php版本出现”Database Server Error”错误-阿宅学院
    解决Typecho更改php版本出现”Database Server Error”错误
    解决Typecho更改php版本出现”Database Server Error”错误
    2022年7月28日 32
    他来了,他带着BeMusic来了-阿宅学院
    他来了,他带着BeMusic来了
    他来了,他带着BeMusic来了
    2022年7月26日 333
    1panel现代化开源的服务器运维管理面板之基础篇-阿宅学院
    1panel现代化开源的服务器运维管理面板之基础篇
    1panel现代化开源的服务器运维管理面板之基础篇
    2023年4月24日 205
    Typecho一键让博客下雪插件-阿宅学院
    Typecho一键让博客下雪插件
    Typecho一键让博客下雪插件
    2023年12月20日 140
    本站更换新logo-阿宅学院
    本站更换新logo
    本站更换新logo
    2021年9月23日 81
    评论一下 抢沙发

    请登录后发表评论

      请登录后查看评论内容