阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 7262阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Typecho 前台无限制getshell漏洞

级别: 论坛版主
发帖
241
云币
478
2017年10月25日,阿里安全情报中心监测到国内博客软件Typecho存在反序列化导致任意代码执行漏洞,攻击者可以利用该漏洞无限制执行代码,获取webshell,存在高安全风险。 :o<N!*pT  
7BK46x  
d v[\.T`LY  
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。 :Lc3a$qtx5  
具体详情如下:                                                                                                                                            
漏洞编号: jDJ.  
暂无 3f,u}1npa*  
漏洞名称: excrXx  
Typecho 前台无限制getshell漏洞 "& Ff[ O*  
官方评级: bWUS9WT  
高危 UXQb ={  
漏洞描述: ,NDxFy;d  
通过利用install.php页面,直接远程构造恶意请求包,实现远程任意代码执行,对业务造成严重的安全风险。 rQ &S<  
漏洞利用条件和方式: pNBa.4z:  
通过PoC直接远程利用。 7_1W:-A7W  
PoC状态: CR.bMF}  
目前PoC已公开 :(+]b  
漏洞影响范围: V!H(;Tuuo  
Typecho <0.9版本 >]^>gUmq  
漏洞检测: B6(h7~0(<  
开发人员检查是否使用了受影响版本范围内的Typecho,并检查install目录是否存在。 (UXv,_"nU  
漏洞修复建议(或缓解措施): R&#[6 r(h  
  • 紧急规避措施:删除install.php文件;
  • 及时同步官方分支,更新代码到最新版本;
  • 官方已经发布了正式稳定版1.1版本修改问题,建议您及时升级到最新版本,下载链接:http://typecho.org/download
7<fL[2-  
情报来源: ::0aY ;D2  
  • https://www.t00ls.net/articles-42355.html
QZ?O;K1|y  
xp~YIeSg  
S]vW&r3`  
KxGKA  
8g-P_[>  
`B:B7Cpvn  
u0wn=Dg  
S_ZLTcq<1  
>7"$}5d  
jC#`PA3m=  
^}>zYt  
poTl|y @  
7 kEx48  
r[6#G2  
.MzOLv   
mJSK; @w<O  
nMTLD  
'y'T'2N3  
:U!'U;uQ  
@X3 gBGY)  
N[#iT&@T}/  
M ' a&  
v<{wA`'R+  
fEx+gQW_  
tZdwy>;  
_)OA$  
a v'd%LZP  
R)sp  
"PZYgl  
i,mrMi c#  
T@%;0Ro~  
x>U1t!'  
0@II &  
L 2[Ei|9_  
+vSCR (n  
6T R8D\  
73&]En  
9(QU2QY  
+A]&AkTw  
k7:GS,7  
S^3g]5YX  
kHt!S9r  
9\AEyaJFZ  
B, QC -Tn  
Rel(bA-[N  
se<i5JsSV  
p_rN1W Dd'  
Qh)|FQ[s$r  
[ 此帖被正禾在2017-10-30 10:54重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 31 + 51 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)