前言

前几天， Typecho 博客程序被曝出评论网址处存在存储型XSS漏洞，不少人已经被攻击，目前 Typecho 暂未发布修复该漏洞的教程，但是 Typecho 的 Github 仓库的最新代码已修复该漏洞，并预发布了 Typecho 1.2.1-rc 版本。

漏洞发现时间

[quote color=”danger”]2023年3月25日[/quote]

影响版本

[quote color=”danger”]Typecho <= 1.2.0[/quote]

Issues

https://github.com/typecho/typecho/issues/1545
https://github.com/typecho/typecho/issues/1546

漏洞公开POC

这个漏洞危险系数很高，目前，该漏洞公开的POC有：

获取Cookie
通过默认模板的 404.php 写入一句话木马

解决方式

1. 关闭评论

目前，Typecho 暂未发布修复该漏洞的教程，可以通过暂时关闭评论功能防止该漏洞被利用于攻击你的网站。

2. 更新程序

目前，Typecho 的 Github 仓库的最新代码已修复该漏洞，并预发布了 Typecho 1.2.1-rc 版本，你可以更新到 Typecho 1.2.1-rc 以防止该漏洞被利用于攻击你的网站。
Typecho 1.2.1-rc ： https://github.com/typecho/typecho/releases/tag/v1.2.1-rc

文章版权归作者所有，未经允许请勿转载。

THE END

Typecho 技术教程
# 教程 # 代码 # 漏洞 # Typecho # XSS # XSS漏洞 # Typecho漏洞

评论共15条

欢迎您留下宝贵的见解！

提交

只看作者

- Heresy0
  用宝塔面板的防火墙可以防吧
  2年前回复
- - hermit作者0
    这个不清楚建议升级程序
    2年前@Heresy回复
- 松鼠老方0
  泻药，我的站之前好像也被搞过，当时并没有听说过这个漏洞现在已经更新了（
  2年前回复
- - hermit作者0
    要多关注这方面！平时多注意数据备份，被黑也不怕！现在1.2.2出来了，建议更新！
    2年前@松鼠老方回复
- 泽泽0
  我模板演示站也被搞了，后来我就直接在模板里写了拦截:@(装大款)
  2年前回复
- - hermit作者0
    确实是要注意，还是泽泽厉害👍
    2年前@泽泽回复
- 小杨聊科技0
  有供测试的一句话代码吗
  2年前回复
- - hermit作者0
    issue里有POC
    2年前@小杨聊科技回复
- vian0
  okk~
  2年前回复
- 网友小宋0
  改代码可行吗
  2年前回复
- - hermit作者0
    理论上可行（:@(想一想)
    2年前@网友小宋回复
  - - 网友小宋0
      别的教程好像没第三条，有测试xss代码吗
      2年前@小俊回复
    - - hermit作者0
        issue里有POC
        2年前@网友小宋回复
- Pampo0
  不慌，等正式版1.2.1出来再更新，我每天都有备份
  2年前回复
- - hermit作者0
    6 不建议冒险（没人搞的除外:@(装大款)
    2年前@Pampo回复

[Typecho漏洞]Typecho博客程序评论网址处存在存储型XSS漏洞

前言