前言
前几天, Typecho
博客程序被曝出评论网址处存在存储型XSS漏洞,不少人已经被攻击,目前 Typecho
暂未发布修复该漏洞的教程,但是 Typecho
的 Github
仓库的最新代码已修复该漏洞,并预发布了 Typecho 1.2.1-rc
版本。
漏洞发现时间
[quote color=”danger”]2023年3月25日[/quote]
影响版本
[quote color=”danger”]Typecho <= 1.2.0[/quote]
Issues
https://github.com/typecho/typecho/issues/1545
https://github.com/typecho/typecho/issues/1546
漏洞公开POC
这个漏洞危险系数很高,目前,该漏洞公开的POC有:
- 获取Cookie
- 通过默认模板的
404.php
写入一句话木马
解决方式
1. 关闭评论
目前,Typecho
暂未发布修复该漏洞的教程,可以通过暂时关闭评论功能防止该漏洞被利用于攻击你的网站。
2. 更新程序
目前,Typecho
的 Github
仓库的最新代码已修复该漏洞,并预发布了 Typecho 1.2.1-rc
版本,你可以更新到 Typecho 1.2.1-rc
以防止该漏洞被利用于攻击你的网站。
Typecho 1.2.1-rc
: https://github.com/typecho/typecho/releases/tag/v1.2.1-rc
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
- 最新
- 最热
只看作者