[Typecho漏洞]Typecho博客程序评论网址处存在存储型XSS漏洞

前言

前几天, Typecho 博客程序被曝出评论网址处存在存储型XSS漏洞,不少人已经被攻击,目前 Typecho 暂未发布修复该漏洞的教程,但是 TypechoGithub 仓库的最新代码已修复该漏洞,并预发布了 Typecho 1.2.1-rc 版本。

Typecho.png

漏洞发现时间

[quote color=”danger”]2023年3月25日[/quote]

影响版本

[quote color=”danger”]Typecho <= 1.2.0[/quote]

Issues

https://github.com/typecho/typecho/issues/1545
https://github.com/typecho/typecho/issues/1546

漏洞公开POC

这个漏洞危险系数很高,目前,该漏洞公开的POC有:

  1. 获取Cookie
  2. 通过默认模板的 404.php 写入一句话木马

解决方式

1. 关闭评论

目前,Typecho 暂未发布修复该漏洞的教程,可以通过暂时关闭评论功能防止该漏洞被利用于攻击你的网站。

2. 更新程序

目前,TypechoGithub 仓库的最新代码已修复该漏洞,并预发布了 Typecho 1.2.1-rc 版本,你可以更新到 Typecho 1.2.1-rc 以防止该漏洞被利用于攻击你的网站。
Typecho 1.2.1-rchttps://github.com/typecho/typecho/releases/tag/v1.2.1-rc

© 版权声明
THE END
喜欢就支持一下吧
点赞15 分享
评论 共15条
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片
    • 头像Heresy0
    • 头像松鼠老方0
      • hermit的头像-小俊博客hermit等级-LV1-小俊博客作者0
    • 头像泽泽0
    • 头像小杨聊科技0
    • 头像网友小宋0
    • 头像Pampo0