[Typecho漏洞]Typecho博客程序评论网址处存在存储型XSS漏洞

本文阅读 2 分钟
首页 技术教程,Typecho 正文

前言

前几天, Typecho 博客程序被曝出评论网址处存在存储型XSS漏洞,不少人已经被攻击,目前 Typecho 暂未发布修复该漏洞的教程,但是 TypechoGithub 仓库的最新代码已修复该漏洞,并预发布了 Typecho 1.2.1-rc 版本。

Typecho.png

漏洞发现时间

[quote color="danger"]2023年3月25日[/quote]

影响版本

[quote color="danger"]Typecho <= 1.2.0[/quote]

Issues

https://github.com/typecho/typecho/issues/1545
https://github.com/typecho/typecho/issues/1546

漏洞公开POC

这个漏洞危险系数很高,目前,该漏洞公开的POC有:

  1. 获取Cookie
  2. 通过默认模板的 404.php 写入一句话木马

解决方式

1. 关闭评论

目前,Typecho 暂未发布修复该漏洞的教程,可以通过暂时关闭评论功能防止该漏洞被利用于攻击你的网站。

2. 更新程序

目前,TypechoGithub 仓库的最新代码已修复该漏洞,并预发布了 Typecho 1.2.1-rc 版本,你可以更新到 Typecho 1.2.1-rc 以防止该漏洞被利用于攻击你的网站。
Typecho 1.2.1-rchttps://github.com/typecho/typecho/releases/tag/v1.2.1-rc

本文来自投稿,不代表本站立场,如若转载,请注明出处:
【主机测评】腾讯云:轻量应用服务器预上新雅加达区域!上线前抢先看机器测评!
« 上一篇 02-25
【实用的开源项目】使用服务器部署Audiobookshelf,一个自托管有声读物和播客服务器
下一篇 » 04-05

发表评论

V注册会员 L评论等级
R15 条回复
  1. Heresy :
    2023-07-30     Win 10 /    Chrome

    用宝塔面板的防火墙可以防吧

    1. 小俊 :
      2023-07-30     iPhone /    Safari

      @Heresy

      这个不清楚 建议升级程序

  2. 2023-06-22     Win 10 /    Chrome

    泻药,我的站之前好像也被搞过,当时并没有听说过这个漏洞
    现在已经更新了(

    1. 小俊 :
      2023-06-22     Win 10 /    Chrome

      @松鼠老方

      要多关注这方面!平时多注意数据备份,被黑也不怕!现在1.2.2出来了,建议更新!

  3. 泽泽 :
    2023-05-16     MacOS /    Chrome

    我模板演示站也被搞了,后来我就直接在模板里写了拦截:@(装大款)

    1. 小俊 :
      2023-05-19     iPhone /    Safari

      @泽泽

      确实是要注意,还是泽泽厉害👍

  4. 2023-04-02     Android /    Chrome

    有供测试的一句话代码吗

    1. 小俊 :
      2023-04-02     Win 10 /    Chrome

      @小杨聊科技

      issue里有POC

  5. vian :
    2023-04-01     Win 10 /    Chrome

    okk~

  6. 2023-04-01     Android /    Chrome

    改代码可行吗

    1. 小俊 :
      2023-04-01     Win 10 /    Chrome

      @网友小宋

      理论上可行(:@(想一想)

      1. 2023-04-01     Win 10 /    Chrome

        @小俊

        别的教程好像没第三条,有测试xss代码吗

        1. 小俊 :
          2023-04-01     Win 10 /    Chrome

          @网友小宋

          issue里有POC

  7. Pampo :
    2023-04-01     Win 10 /    Chrome

    不慌,等正式版1.2.1出来再更新,我每天都有备份

    1. 小俊 :
      2023-04-01     Win 10 /    Chrome

      @Pampo

      6 不建议冒险(没人搞的除外:@(装大款)

没有更多评论了

热门文章

标签TAG

热评文章