[漏洞预警]Typecho <= 1.2.0 版本评论爆出严重的存储型XSS漏洞
侧边栏壁纸
  • 累计撰写 69 篇文章
  • 累计收到 2,942 条评论
  • 今日撰写 0 篇文章
    今日已经过去 16 小时
    69%
    这周已经过去 1
    14%
    本月已经过去 22
    70%
    今年已经过去 8 个月
    66%
[漏洞预警]Typecho <= 1.2.0 版本评论爆出严重的存储型XSS漏洞
2023年03月31日442阅读0评论7点赞
苏晓晴
发布时间:2023年03月31日 / 0 / 442 / 正在检测是否收录...
温馨提示:
本文最后更新于2023年04月01日,已超过383天没有更新,若内容或图片失效,请留言反馈。

漏洞发现

发现于2023年3月25号

影响版本

Typecho <= 1.2.0 版本
https://github.com/typecho/typecho/issues/1545
https://github.com/typecho/typecho/issues/1546

漏洞复现

QQ图片20230331160620.png
QQ图片20230331161813.png

漏洞公开POC

目前 此漏洞公开的POC有:

  1. 获取Cookie
  2. 通过404.php写入一句话木马

这个漏洞危险系数很高,可以直接前台拿Shell。
QQ图片20230331162152.png

修复建议

更新到最新版 > https://github.com/typecho/typecho/releases/tag/v1.2.1-rc

  1. 最新版1.2.1Rc已经修复此漏洞,大家应该尽快更新到最新版本。
  2. 直接从数据库里面删除评论,千万不要从后台删除,否则会被xss代码拿到cookie!
7
打赏

海报

正在生成.....

♥评论♥(0)

使用cookie技术保留您的个人信息以便您下次快速评论,继续评论表示您已同意该条款
取消