阿里云
阿里云飞天战略营全新发布
发表主题 回复主题
  • 5254阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Typecho 前台无限制getshell漏洞

级别: 论坛版主
发帖
227
云币
443
2017年10月25日,阿里安全情报中心监测到国内博客软件Typecho存在反序列化导致任意代码执行漏洞,攻击者可以利用该漏洞无限制执行代码,获取webshell,存在高安全风险。 3>0/WbA:7E  
-t?S:9 [w  
^Cyx "s't  
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。 2#*Bw=  
具体详情如下:                                                                                                                                            
漏洞编号: BYVp~!u  
暂无 ?Hf^& yo  
漏洞名称: \H<'W"  
Typecho 前台无限制getshell漏洞 {+z+6i  
官方评级: Q2^}NQO=  
高危 OWB^24Z&3  
漏洞描述: . ~G>vVb  
通过利用install.php页面,直接远程构造恶意请求包,实现远程任意代码执行,对业务造成严重的安全风险。 +tdt>)a  
漏洞利用条件和方式: 0d`s(b54;O  
通过PoC直接远程利用。 %9-).k  
PoC状态: >efYpd#^  
目前PoC已公开 z mrk`o~  
漏洞影响范围: X  LA  
Typecho <0.9版本 e@Z(z^V  
漏洞检测: YANg2L>MK  
开发人员检查是否使用了受影响版本范围内的Typecho,并检查install目录是否存在。 M)I&^mm39  
漏洞修复建议(或缓解措施): <R*.T)Z1  
  • 紧急规避措施:删除install.php文件;
  • 及时同步官方分支,更新代码到最新版本;
  • 官方已经发布了正式稳定版1.1版本修改问题,建议您及时升级到最新版本,下载链接:http://typecho.org/download
)f(#Fn  
情报来源: vj[ .`fY  
  • https://www.t00ls.net/articles-42355.html
Cg}cD.  
bX|Z||img  
I#Iu:,OT  
kIrME:  
hP`3Ao  
bH3-#mw5w  
d@7 ]=P:  
u{ JAC!  
SL pd~ZC?  
wcsUb 9(  
ysGK5kFz  
8!b#ez   
a&.8*|w3  
y*vs}G'W  
&=<x&4H+  
Rl.3p<sX  
]hS4'9lD  
~U~KUL|  
Cbx/  
Ad9'q!_en  
*-3K],^a  
9p+DA s{i  
flVQG@  
]6GdB3?UVM  
l<(MC R*  
;} Ty b  
a+uSCs[C  
] RN&s  
r_@;eh  
sn@gchO9s  
V~+Oil6sa  
w;&J._J  
=n cu# T]  
W[AX?  
?y>P  
-iR}kP|  
; "ux{ .  
=XzrmPu  
Cf91#% :cN  
?k TVC  
$k,Z)2  
Qo4]_,kR  
WUvrC  
g"EvMv&  
IX$dDwY|O>  
Y}&//S A  
)^qM%k8  
V: fz  
[ 此帖被正禾在2017-10-30 10:54重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个