快去更新!Typecho <= 1.2.0 版本評論爆出嚴重可直接利用的存儲型 XSS 漏洞可以輕松拿 shell
無意中隨手看了下 Typecho 的 GitHub 更新提交記錄 Commits,看見一條 fix 修復于是就點開看了一下 立馬拉了一份最新代碼更新然后群里發一條消息預警。
[/hidecontent]
影響版本:
漏洞影響版本:Typecho <= 1.2.0
[/hidecontent]
漏洞復現:
[/hidecontent]
已知 POC:
此漏洞現有公開的 POC 兩個功能:
1、獲取 cookie
2、404.php 寫入一句話 shell
不像之前的兩個后臺 XSS 這個漏洞危險性很高可以直接前臺拿 shell 而且有人給出了具體 POC 可以 404 頁面掛一句話木馬。
[/hidecontent]
安全建議:
更新最新版:https://github.com/typecho/typecho/releases/tag/v1.2.1-rc
當前最新版 1.2.1-rc
[/hidecontent]
已經修復此漏洞,大家應該盡快更新到最新版本。
另外建議應安裝或者啟用 WAF 防火墻這樣可以避免大部分掃描器掃描和過濾 XSS、SQL 等安全問題。
? 版權聲明
文章版權歸作者所有,未經允許請勿轉載。
THE END
喜歡就支持一下吧
相關推薦
