前言
前几天, Typecho
博客程序被曝出评论网址处存在存储型XSS漏洞,不少人已经被攻击,目前 Typecho
暂未发布修复该漏洞的教程,但是 Typecho
的 Github
仓库的最新代码已修复该漏洞,并预发布了 Typecho 1.2.1-rc
版本。
漏洞发现时间
[quote color="danger"]2023年3月25日[/quote]
影响版本
[quote color="danger"]Typecho <= 1.2.0[/quote]
Issues
https://github.com/typecho/typecho/issues/1545
https://github.com/typecho/typecho/issues/1546
漏洞公开POC
这个漏洞危险系数很高,目前,该漏洞公开的POC有:
- 获取Cookie
- 通过默认模板的
404.php
写入一句话木马
解决方式
1. 关闭评论
目前,Typecho
暂未发布修复该漏洞的教程,可以通过暂时关闭评论功能防止该漏洞被利用于攻击你的网站。
2. 更新程序
目前,Typecho
的 Github
仓库的最新代码已修复该漏洞,并预发布了 Typecho 1.2.1-rc
版本,你可以更新到 Typecho 1.2.1-rc
以防止该漏洞被利用于攻击你的网站。
Typecho 1.2.1-rc
: https://github.com/typecho/typecho/releases/tag/v1.2.1-rc
用宝塔面板的防火墙可以防吧
@Heresy
这个不清楚 建议升级程序
泻药,我的站之前好像也被搞过,当时并没有听说过这个漏洞
现在已经更新了(
@松鼠老方
要多关注这方面!平时多注意数据备份,被黑也不怕!现在1.2.2出来了,建议更新!
我模板演示站也被搞了,后来我就直接在模板里写了拦截:@(装大款)
@泽泽
确实是要注意,还是泽泽厉害👍
有供测试的一句话代码吗
@小杨聊科技
issue里有POC
okk~
改代码可行吗
@网友小宋
理论上可行(:@(想一想)
@小俊
别的教程好像没第三条,有测试xss代码吗
@网友小宋
issue里有POC
不慌,等正式版1.2.1出来再更新,我每天都有备份
@Pampo
6 不建议冒险(没人搞的除外:@(装大款)