Typecho <= 1.2.0 版本评论爆出严重可直接利用的存储型 XSS 漏洞 - 陌路人博客

Typecho <= 1.2.0 版本评论爆出严重可直接利用的存储型 XSS 漏洞-陌路人博客-第1张图片陌路人

陌路人博客(blog.imlr.cn)
用心传递快乐,初心不变。
QQ咨询
QQ咨询

Typecho <= 1.2.0 版本评论爆出严重可直接利用的存储型 XSS 漏洞

2023-4-1 23:03 分类: 最新教程 评论:0
快去更新!Typecho <= 1.2.0 版本评论爆出严重可直接利用的存储型 XSS 漏洞可以轻松拿 shell

无意中随手看了下 Typecho 的 GitHub 更新提交记录 Commits,看见一条 fix 修复于是就点开看了一下 立马拉了一份最新代码更新然后群里发一条消息预警。

影响版本:
漏洞影响版本:Typecho <= 1.2.0

漏洞复现:
Typecho <= 1.2.0 版本评论爆出严重可直接利用的存储型 XSS 漏洞-陌路人博客-第2张图片

已知 POC:
此漏洞现有公开的 POC 两个功能:

1、获取 cookie
2、404.PHP 写入一句话 shell

不像之前的两个后台 XSS 这个漏洞危险性很高可以直接前台拿 shell 而且有人给出了具体 POC 可以 404 页面挂一句话木马。
Typecho <= 1.2.0 版本评论爆出严重可直接利用的存储型 XSS 漏洞-陌路人博客-第3张图片

安全建议:

更新最新版:https://github.com/typecho/typecho/releases/tag/v1.2.1-rc


当前最新版 1.2.1-rc 已经修复此漏洞,大家应该尽快更新到最新版本。
另外建议应安装或者启用 WAF 防火墙这样可以避免大部分扫描器扫描和过滤 XSS、SQL 等安全问题。

×

感谢您的支持,我们会一直保持!

Typecho <= 1.2.0 版本评论爆出严重可直接利用的存储型 XSS 漏洞-陌路人博客- 第5张图片
请土豪扫码随意打赏

打开支付宝扫一扫,即可进行扫码打赏哦

分享从这里开始,精彩与您同在

打赏作者
AD:【站长推荐】免费api大全

版权所有,转载注意明处:陌路人博客 » Typecho <= 1.2.0 版本评论爆出严重可直接利用的存储型 XSS 漏洞

QQ

标签: 教程
Typecho <= 1.2.0 版本评论爆出严重可直接利用的存储型 XSS 漏洞-陌路人博客-第8张图片

陌路人

本站提供的资源,都来自网络,版权争议与本站无关,所有内容及软件的文章仅限用于学习和研究目的。不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负,我们不保证内容的长久可用性,通过使用本站内容随之而来的风险与本站无关,您必须在下载后的24个小时之内,从您的电脑/手机中彻底删除上述内容。如果您喜欢程序,请支持正版软件购买注册,得到更好的正版服务。侵删请致信E-mail:mlrcn@qq.com

相关推荐

发表评论

表情

网友评论(0)

猜你喜欢

点击为本站SEO优化

百度一下

今日天气
轻音乐