教热门-官方 
共计 420 个字符,预计需要花费 2 分钟才能阅读完成。
快去更新!Typecho <= 1.2.0 版本评论爆出严重可直接利用的存储型 XSS 漏洞可以轻松拿 shell
无意中随手看了下 Typecho 的 GitHub 更新提交记录 Commits,看见一条 fix 修复于是就点开看了一下 立马拉了一份最新代码更新然后群里发一条消息预警。
影响版本:
漏洞影响版本:Typecho <= 1.2.0
漏洞复现:
已知 POC:
此漏洞现有公开的 POC 两个功能:
1、获取 cookie
2、404.php 写入一句话 shell
不像之前的两个后台 XSS 这个漏洞危险性很高可以直接前台拿 shell 而且有人给出了具体 POC 可以 404 页面挂一句话木马。
安全建议:
更新最新版:https://github.com/typecho/typecho/releases/tag/v1.2.1-rc
当前最新版 1.2.1-rc 已经修复此漏洞,大家应该尽快更新到最新版本。
另外建议应安装或者启用 WAF 防火墙这样可以避免大部分扫描器扫描和过滤 XSS、SQL 等安全问题。
1. 本站所有资源来源于用户上传和网络,如有侵权请联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,请使用WINRAR解压,如遇到无法解压的请联系管理员!
8. 精力有限,不少源码未能详细测试(解密),不能分辨部分源码是病毒还是误报,所以没有进行任何修改,大家使用前请进行甄别!
教热门 » 快去更新!Typecho <= 1.2.0 版本评论爆出严重可直接利用的存储型XSS漏洞可以轻松拿shell
