阿里云
发表主题 回复主题
  • 6334阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Typecho 前台无限制getshell漏洞

级别: 论坛版主
发帖
240
云币
472
2017年10月25日,阿里安全情报中心监测到国内博客软件Typecho存在反序列化导致任意代码执行漏洞,攻击者可以利用该漏洞无限制执行代码,获取webshell,存在高安全风险。 YC+ZVp"v  
L2Qp6A6S  
[eTck73  
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。 >goAf`sqo  
具体详情如下:                                                                                                                                            
漏洞编号: :EmMia-)J  
暂无 ABS BtH ?  
漏洞名称: d#$i/&gE  
Typecho 前台无限制getshell漏洞 '@1Qx~*]e  
官方评级: q'U-{~q%  
高危 1OJD\wc  
漏洞描述: ~wQ WWRk  
通过利用install.php页面,直接远程构造恶意请求包,实现远程任意代码执行,对业务造成严重的安全风险。 d+wNGN  
漏洞利用条件和方式: '3kL=(  
通过PoC直接远程利用。 >0G}, S  
PoC状态: ^[,1+WS%  
目前PoC已公开 |n%N'-el  
漏洞影响范围: 7q1l9:VYE  
Typecho <0.9版本 bHG>SW\]`?  
漏洞检测: ~hX'FV  
开发人员检查是否使用了受影响版本范围内的Typecho,并检查install目录是否存在。 FkkB#Jk4  
漏洞修复建议(或缓解措施): $~\qoW<  
  • 紧急规避措施:删除install.php文件;
  • 及时同步官方分支,更新代码到最新版本;
  • 官方已经发布了正式稳定版1.1版本修改问题,建议您及时升级到最新版本,下载链接:http://typecho.org/download
B75SLK:h=  
情报来源: k9?+9bExXA  
  • https://www.t00ls.net/articles-42355.html
c *noH[  
*mt v[  
XcneH jpR  
?uv%E*TU  
Hn.UJ4V  
ddxv.kIj.  
hR{Zh>  
EeJ] > 1  
,B!Qv3bn  
|-<L :%  
\aozecpC`  
RT9@&5>il  
"yk%/:G+  
~VKXL,.  
N<%,3W_-_  
=)LpMTz  
r8$TT\?~  
@TDcj~oR ?  
ya=51~ by"  
b*i+uV?  
Qa+gtGtJ  
$Tza<nA  
l|{<!7a  
[OSUARm v  
h'+ swPh  
NM]/OKs'H  
hpu(MX\  
w8Yff[o  
bcG-js-  
ua-p^X`w  
25r=Xv  
|)?T([  
@ Ia ~9yOY  
 V Euv  
fz*6 B NJ  
Qd&j~cG@  
5o*x?P!$  
v.MWO]L  
6gXc-}dp  
Nnw iH  
t$J-6dW  
!*;)]j  
9^n ]qg^  
B4C`3@a  
Nbda P{{  
?a% u=G  
Y]PZ| G)  
'JydaF~>  
[ 此帖被正禾在2017-10-30 10:54重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 85 + 3 = ?
上一个 下一个