Typecho <= 1.2.0 版本评论爆出严重的存储型XSS漏洞

01101
图片[1]-Typecho-阿宅学院

漏洞发现

发现于2023年3月25号

影响版本

Typecho <= 1.2.0 版本
https://github.com/typecho/typecho/issues/1545
https://github.com/typecho/typecho/issues/1546

漏洞复现

图片[2]-Typecho-阿宅学院
图片[3]-Typecho-阿宅学院

漏洞公开POC

目前 此漏洞公开的POC有:

  1. 获取Cookie
  2. 通过404.php写入一句话木马

这个漏洞危险系数很高,可以直接前台拿Shell。

图片[4]-Typecho-阿宅学院

修复建议

更新到最新版 > https://github.com/typecho/typecho/releases/tag/v1.2.1-rc

  1. 最新版1.2.1Rc已经修复此漏洞,大家应该尽快更新到最新版本。
  2. 直接从数据库里面删除评论,千万不要从后台删除,否则会被xss代码拿到cookie!
    © 版权声明
    网站内容来源于网络,如有侵权,请联系我们,我们将及时处理。
    分享是一种美德,当你分享时请你附带上本文链接。
    THE END
    随便水水
    # Typecho# 漏洞# xss
    支持博主,更新加速
    点赞1 分享
    生草博客站长的头像-阿宅学院
    子比美化之悬浮按钮繁简体切换方式-阿宅学院
    子比美化之悬浮按钮繁简体切换方式
    子比美化之悬浮按钮繁简体切换方式
    2023年5月15日 194
    分享一个为网站所有用户批量设置为VIP会员的代码-阿宅学院
    分享一个为网站所有用户批量设置为VIP会员的代码
    分享一个为网站所有用户批量设置为VIP会员的代码
    2023年5月28日 172
    WordPress中实现每篇文章只允许用户评论一次-阿宅学院
    WordPress中实现每篇文章只允许用户评论一次
    WordPress中实现每篇文章只允许用户评论一次
    2023年3月22日 160
    子比主题配置评论显示所在IP地区和使用设备-阿宅学院
    子比主题配置评论显示所在IP地区和使用设备
    子比主题配置评论显示所在IP地区和使用设备
    2022年11月16日 151
    子比美化之h6标题美化css彩虹文字特效-阿宅学院
    子比美化之h6标题美化css彩虹文字特效
    子比美化之h6标题美化css彩虹文字特效
    2023年5月15日 150
    国内服务器安装chatgpt-turbo-3.5镜像(Docker)-阿宅学院
    国内服务器安装chatgpt-turbo-3.5镜像(Docker)
    国内服务器安装chatgpt-turbo-3.5镜像(Docker)
    2024年1月29日 149
    勋章统计

    随机推荐
    收录谷歌搜索免翻网站-阿宅学院
    收录谷歌搜索免翻网站
    收录谷歌搜索免翻网站
    2022年8月30日 80
    本站已加入文章投稿考试-阿宅学院
    本站已加入文章投稿考试
    本站已加入文章投稿考试
    2023年7月7日 153
    解封QQ账号手册-阿宅学院
    解封QQ账号手册
    解封QQ账号手册
    2021年8月28日 69
    【全网首发】B站等级图标-阿宅学院
    【全网首发】B站等级图标
    【全网首发】B站等级图标
    2022年4月30日 542
    把下载的VIP音乐(网抑☁️、扣扣音乐等)加密格式歌曲解锁转换为普通格式mp3-阿宅学院
    把下载的VIP音乐(网抑☁️、扣扣音乐等)加密格式歌曲解锁转换为普通格式mp3
    把下载的VIP音乐(网抑☁️、扣扣音乐等)加密格式歌曲解锁转换为普通格式mp3
    2023年4月18日 224
    评论一下 抢沙发

    请登录后发表评论

      请登录后查看评论内容