Loading... <div class="tip share">请注意,本文编写于 245 天前,最后修改于 245 天前,其中某些信息可能已经过时。</div> 漏洞在typecho 最新正式版本(1.2)上发现,测试在博客评论区域填写url处存在xss风险,简单来说就是恶意用户可以在url中输入js代码,等管理员访问后台的评论管理页面时就会被执行js代码。 ## 危险程度 这个漏洞危险系数很高,可以直接前台拿Shell。 ## 修复方法 1. 地址:[https://github.com/typecho/typecho/commit/b989459d87df9cf0c50b010faf6123eea8c5314b](https://www.blogbig.cn/go/k8Mcuj8w/) 2. 按照上述地址中的文件变更对typecho 源代码对应的文件内容进行修改。 3. 如未更改过typecho源代码的也可以直接更新到开发版本 4. 开发版:[https://github.com/typecho/typecho/releases/tag/v1.2.1-rc](https://www.blogbig.cn/go/FxUokpPo/) ## 温馨提示 <span style='color:red'>如果已经中招千万不要从后台评论管理页面删除,否则会被xss代码拿到cookie</span> 记得从数据库删除评论!!! 正文到此结束 最后修改:2023 年 04 月 10 日 © 允许规范转载 打赏 赞赏作者 支付宝微信 赞 3 如果觉得我的文章对你有用,请随意赞赏