阿里云
云栖社区2017年度内容特辑
发表主题 回复主题
  • 4401阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Typecho 前台无限制getshell漏洞

级别: 论坛版主
发帖
216
云币
402
2017年10月25日,阿里安全情报中心监测到国内博客软件Typecho存在反序列化导致任意代码执行漏洞,攻击者可以利用该漏洞无限制执行代码,获取webshell,存在高安全风险。 d QqK^#  
pej|!oX  
pS:4CNI{  
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。 1u:< 25  
具体详情如下:                                                                                                                                            
漏洞编号: aeD;5VV  
暂无 }9FSO9*&}  
漏洞名称: I"ok&^t^}  
Typecho 前台无限制getshell漏洞 T \_ ]^]>  
官方评级: 1]p ZrBh"E  
高危 r4SXE\ G  
漏洞描述: I"A_b}~*}  
通过利用install.php页面,直接远程构造恶意请求包,实现远程任意代码执行,对业务造成严重的安全风险。  bJX)$G  
漏洞利用条件和方式: <P=twT;P  
通过PoC直接远程利用。 LA}S yt\F  
PoC状态: VcXq?f>\  
目前PoC已公开 :s7m4!EF  
漏洞影响范围:  z62;cv  
Typecho <0.9版本 ^y<<>Y'I  
漏洞检测: N u<_}  
开发人员检查是否使用了受影响版本范围内的Typecho,并检查install目录是否存在。 `)_dS&_\  
漏洞修复建议(或缓解措施):  @fl-3q  
  • 紧急规避措施:删除install.php文件;
  • 及时同步官方分支,更新代码到最新版本;
  • 官方已经发布了正式稳定版1.1版本修改问题,建议您及时升级到最新版本,下载链接:http://typecho.org/download
# mV{#B=  
情报来源: $}!p+$  
  • https://www.t00ls.net/articles-42355.html
`ojoOB^L  
^rifRY-,yO  
YTUZoW2  
iT2B'QI=<  
xHD=\,{ig  
}&w Ur>=  
,F,X ,  
YoBDvV":@  
e&&53?  
lPw%ErG  
iO|se:LY<  
HTX?,C_  
\1D<!k\S  
wea-zN  
&L'Dqew,*  
U:^PC x`  
{>hC~L?6  
;DFSzbF`  
j+$rj  
X-K=!pET  
DtXrWS/  
|}=acc/  
1v.c 6~  
u)}$~E>  
(k5We!4[1  
Azl&mu  
&$`P,i 1)  
\LR~r%(rM  
jB%lB1Q|  
`6~Aoe  
^c-  
4|riKo)  
6dabU*  
[q?<Qe  
kMi/>gpQ  
1OCeN%4]Qk  
IzikDc10  
T@2#6Tffo  
{< )1q ;  
 HN=V"a  
m$}R%  
 P5a4ze  
2Rw&C6("w  
n.!#P|  
_aGOb;h  
.}t~'*D  
8!O5quEc  
3er nTD*`  
[ 此帖被正禾在2017-10-30 10:54重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个