前言
前几天, Typecho
博客程序被曝出评论网址处存在存储型XSS漏洞,不少人已经被攻击,目前 Typecho
暂未发布修复该漏洞的教程,但是 Typecho
的 Github
仓库的最新代码已修复该漏洞,并预发布了 Typecho 1.2.1-rc
版本。
漏洞发现时间
2023年3月25日
影响版本
Typecho <= 1.2.0
Issues
https://github.com/typecho/typecho/issues/1545
https://github.com/typecho/typecho/issues/1546
漏洞公开POC
这个漏洞危险系数很高,目前,该漏洞公开的POC有:
- 获取Cookie
- 通过默认模板的
404.php
写入一句话木马
解决方式
1. 关闭评论
目前,Typecho
暂未发布修复该漏洞的教程,可以通过暂时关闭评论功能防止该漏洞被利用于攻击你的网站。
2. 更新程序
目前,Typecho
的 Github
仓库的最新代码已修复该漏洞,并预发布了 Typecho 1.2.1-rc
版本,你可以更新到 Typecho 1.2.1-rc
以防止该漏洞被利用于攻击你的网站。
Typecho 1.2.1-rc
: https://github.com/typecho/typecho/releases/tag/v1.2.1-rc
1周前
我模板演示站也被搞了,后来我就直接在模板里写了拦截
1周前
确实是要注意,还是泽泽厉害👍
2023年4月2日 14:56
有供测试的一句话代码吗
2023年4月2日 16:26
issue里有POC
2023年4月1日 21:17
okk~
2023年4月1日 12:15
改代码可行吗
2023年4月1日 12:20
理论上可行(
2023年4月1日 12:38
别的教程好像没第三条,有测试xss代码吗
2023年4月1日 16:19
issue里有POC
2023年4月1日 11:54
不慌,等正式版1.2.1出来再更新,我每天都有备份
2023年4月1日 12:19
6 不建议冒险(没人搞的除外