[漏洞预警]Typecho <= 1.2.0 版本评论爆出严重的存储型XSS漏洞
登录 / 注册
关键词搜索
标签搜索
热门文章
侧边栏壁纸
博主昵称
苏晓晴

  • 累计撰写 73 篇文章
  • 累计收到 3,478 条评论
  • 今日撰写 0 篇文章
    今日已经过去 16 小时
    69%
    这周已经过去 1
    14%
    本月已经过去 22
    70%
    今年已经过去 8 个月
    66%
[漏洞预警]Typecho <= 1.2.0 版本评论爆出严重的存储型XSS漏洞
2023年03月31日617阅读0评论7点赞
技术分享
苏晓晴
苏晓晴
发布时间:2023年03月31日 / 0 / 617
温馨提示:
本文最后更新于2023年04月01日,已超过759天没有更新,若内容或图片失效,请留言反馈。

漏洞发现

发现于2023年3月25号

影响版本

Typecho <= 1.2.0 版本
https://github.com/typecho/typecho/issues/1545
https://github.com/typecho/typecho/issues/1546

漏洞复现

QQ图片20230331160620.png
QQ图片20230331161813.png

漏洞公开POC

目前 此漏洞公开的POC有:

  1. 获取Cookie
  2. 通过404.php写入一句话木马

这个漏洞危险系数很高,可以直接前台拿Shell。
QQ图片20230331162152.png

修复建议

更新到最新版 > https://github.com/typecho/typecho/releases/tag/v1.2.1-rc

  1. 最新版1.2.1Rc已经修复此漏洞,大家应该尽快更新到最新版本。
  2. 直接从数据库里面删除评论,千万不要从后台删除,否则会被xss代码拿到cookie!
本文功能
7
打赏

海报

正在生成.....
Typecho漏洞
本文信息
版权属于: 苏晓晴
最近更新: 2023-04-01 21:35:37
本文链接: https://www.toubiec.cn/sec1.html
作品采用: 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 》许可协议授权
版权申明: 未经许可用于商业用途 本站有权利追究责任(可以随意转载 但不允许商业用途)
相关推荐
[Typecho插件]Typecho上传图片自动转为Webp/Avif格式插件
[Typecho插件]Typecho上传图片自动转为Webp/Avif格式插件
 [技术分享]宝塔面板Nginx异常事件解析
[技术分享]宝塔面板Nginx异常事件解析

♥评论♥(0)

使用cookie技术保留您的个人信息以便您下次快速评论,继续评论表示您已同意该条款
密语
取消