阿里云
发表主题 回复主题
  • 5982阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Typecho 前台无限制getshell漏洞

级别: 论坛版主
发帖
234
云币
459
2017年10月25日,阿里安全情报中心监测到国内博客软件Typecho存在反序列化导致任意代码执行漏洞,攻击者可以利用该漏洞无限制执行代码,获取webshell,存在高安全风险。 09R,'QJ|  
$Hp.{jw  
$Q8P@L)[  
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。 M0O>Ljo4RN  
具体详情如下:                                                                                                                                            
漏洞编号: lq1[r~  
暂无 =LXvlt'Q34  
漏洞名称: 4dW3'"R"L  
Typecho 前台无限制getshell漏洞 |yLk5e~@-  
官方评级: R]CZw;zS_  
高危 r~)VGdB+  
漏洞描述: GS}0;x  
通过利用install.php页面,直接远程构造恶意请求包,实现远程任意代码执行,对业务造成严重的安全风险。 UUl*f!& o  
漏洞利用条件和方式: &nQRa?3,   
通过PoC直接远程利用。 @ (i*-u3Tq  
PoC状态: |xq} '.C  
目前PoC已公开 "3@KRb4f  
漏洞影响范围: m +Y@UgB  
Typecho <0.9版本 "VV914*z  
漏洞检测: /ca(a\@R  
开发人员检查是否使用了受影响版本范围内的Typecho,并检查install目录是否存在。 Tc:sldtCk  
漏洞修复建议(或缓解措施): a ]>VZOet  
  • 紧急规避措施:删除install.php文件;
  • 及时同步官方分支,更新代码到最新版本;
  • 官方已经发布了正式稳定版1.1版本修改问题,建议您及时升级到最新版本,下载链接:http://typecho.org/download
]a)IMIh;  
情报来源: PM@XtL7J  
  • https://www.t00ls.net/articles-42355.html
@|^jq  
GXO4x|08F  
=h(7rU"Yz  
V{KjRSVf=  
!@( M_Z'  
9KXym }  
s}jlS  
.Nc_n5D6  
j?( c}!}  
B-$+UE>%  
.XIr?>G  
Cgo9rC~]  
02,W~+d1  
7iP5T  
$iwIF7,\P  
6Hda]y  
I:nI6gF  
)]wuF`  
F%}7cm2  
+miR3~w.  
wajZqC2yg  
/0 _zXQyV  
YN/u9[=`  
# J]~  
J=@xAVBc  
Gh'X.?3   
 b)Tl*  
Y_+ SA|s  
/,X7.t_-  
ac|/Y$\w  
@*SA$9/l  
i$["aP~G  
).Q[!lly   
"ct58Y@   
QhsVIta  
~~@y_e[N#l  
\ZsP]};*  
<W2ZoqaV  
TVYz3~m  
ZL,6_L/  
L/%Y#  
}Bi@?Sb  
[8TS"ph>  
0X#+#[W  
6`Lcs  
\+9;!VWhl  
@%:E  }  
djfU:$!j&  
[ 此帖被正禾在2017-10-30 10:54重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 89 - 84 = ?
上一个 下一个