小俊

文章	评论	标签
247	399	873

前言

前几天， Typecho 博客程序被曝出评论网址处存在存储型XSS漏洞，不少人已经被攻击，目前 Typecho 暂未发布修复该漏洞的教程，但是 Typecho 的 Github 仓库的最新代码已修复该漏洞，并预发布了 Typecho 1.2.1-rc 版本。

漏洞发现时间

2023年3月25日

影响版本

Typecho <= 1.2.0

Issues

https://github.com/typecho/typecho/issues/1545
https://github.com/typecho/typecho/issues/1546

漏洞公开POC

这个漏洞危险系数很高，目前，该漏洞公开的POC有：

获取Cookie
通过默认模板的 404.php 写入一句话木马

解决方式

1. 关闭评论

目前，Typecho 暂未发布修复该漏洞的教程，可以通过暂时关闭评论功能防止该漏洞被利用于攻击你的网站。

2. 更新程序

目前，Typecho 的 Github 仓库的最新代码已修复该漏洞，并预发布了 Typecho 1.2.1-rc 版本，你可以更新到 Typecho 1.2.1-rc 以防止该漏洞被利用于攻击你的网站。
Typecho 1.2.1-rc ： https://github.com/typecho/typecho/releases/tag/v1.2.1-rc

教程代码漏洞 Typecho XSS XSS漏洞 Typecho漏洞

版权属于：小俊

本文链接：https://www.smalljun.com/archives/3404.html

作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可

打赏

评论区

泽泽
1周前

我模板演示站也被搞了，后来我就直接在模板里写了拦截

小俊
1周前

确实是要注意，还是泽泽厉害👍

小杨聊科技
2023年4月2日 14:56

有供测试的一句话代码吗

小俊
2023年4月2日 16:26

issue里有POC

vian
2023年4月1日 21:17

okk~

网友小宋
2023年4月1日 12:15

改代码可行吗

小俊
2023年4月1日 12:20

理论上可行（

网友小宋
2023年4月1日 12:38

别的教程好像没第三条，有测试xss代码吗

小俊
2023年4月1日 16:19

issue里有POC

Pampo
2023年4月1日 11:54

不慌，等正式版1.2.1出来再更新，我每天都有备份

小俊
2023年4月1日 12:19

6 不建议冒险（没人搞的除外

[Typecho漏洞]Typecho博客程序评论网址处存在存储型XSS漏洞

小俊

前言