阿里云
发表主题 回复主题
  • 6335阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Typecho 前台无限制getshell漏洞

级别: 论坛版主
发帖
240
云币
472
2017年10月25日,阿里安全情报中心监测到国内博客软件Typecho存在反序列化导致任意代码执行漏洞,攻击者可以利用该漏洞无限制执行代码,获取webshell,存在高安全风险。 ~e77w\Q0  
m}[~A@qD  
$H-D9+8 7  
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。 @:+n6  
具体详情如下:                                                                                                                                            
漏洞编号: F[D0x26 ^  
暂无 |sqo+E  
漏洞名称: =+}}Sv2  
Typecho 前台无限制getshell漏洞 8@yc}~8 *  
官方评级: xPMyG);  
高危 }&T<wm!  
漏洞描述: 7Sz'vyiz  
通过利用install.php页面,直接远程构造恶意请求包,实现远程任意代码执行,对业务造成严重的安全风险。 6~h1iY_~  
漏洞利用条件和方式: O {6gNR,*  
通过PoC直接远程利用。 #VdI{IbW  
PoC状态: E`uaE=Mdq  
目前PoC已公开 e*2&s5 #RT  
漏洞影响范围: \As oeeF  
Typecho <0.9版本 )xvx6?Ah|  
漏洞检测: 9MB\z"b?A  
开发人员检查是否使用了受影响版本范围内的Typecho,并检查install目录是否存在。 ?[ S >&Vq  
漏洞修复建议(或缓解措施): sb|3|J6=  
  • 紧急规避措施:删除install.php文件;
  • 及时同步官方分支,更新代码到最新版本;
  • 官方已经发布了正式稳定版1.1版本修改问题,建议您及时升级到最新版本,下载链接:http://typecho.org/download
$;2eH  
情报来源: ?Tc)f_a  
  • https://www.t00ls.net/articles-42355.html
Qw<kX*fxrI  
+# RlX3P  
F7Dc!JNa  
noaN@K[GO  
Sz|Y$,  
}^pQbFku  
cCh0?g7nV  
~w1{zxs  
u3M` 'YCb  
W7*_T]  
(I7&8$Zl  
JMirz~%ib  
7"n)/;la  
iM/*&O}  
;WvYzd9  
#FqFH>-*2  
%Rd~|$@>x  
1o|0x\q  
2H?I'<NoC  
PTzp;.  
mmrW`~-  
^A *]&%(h  
{DEzuU  
-7-Fd_F8  
%A)-m 69  
z*M}=`M$  
O1x0[sy  
Z:_m}Ya|  
#1QX!dK+  
i{ t TUA  
W{fULl  
).0V%}>  
O+G~Qp0b>  
)(h&Q? Ar  
'2|1%NSW9  
&YT_#M  
`e'G.@  
M1AZ}b c0]  
n0rerI[R  
$ZQl IJZ  
"n{9- VEmN  
>DDQ'W!  
TK; \_yN  
k~0#'I9  
%B#hb<7}  
Eyr5jXt%;  
)8pc f`h{  
Bz~ -2#l  
[ 此帖被正禾在2017-10-30 10:54重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 62 + 4 = ?
上一个 下一个