漏洞发现时间
2023.3.25日
影响版本
Typecho <= 1.2.0 版本
相关Github issues
https://github.com/typecho/typecho/issues/1545
https://github.com/typecho/typecho/issues/1546
漏洞复现
漏洞公开POC
目前 此漏洞公开的POC有:
- 获取Cookie
- 通过404.php写入一句话木马
这个漏洞危险系数 很高 ,可以直接前台拿Shell。
解决方式
更新到 最新版 > https://github.com/typecho/typecho/releases/tag/v1.2.1
更新文档:https://docs.typecho.org/upgrade
- 最新版 1.2.1 已经修复此漏洞,大家应该尽快更新到最新版本。
- 直接从数据库里面删除评论,千万 不要 从后台删除,否则会被xss代码拿到cookie!
评论 (0)