阿里云
阿里云飞天战略营全新发布
发表主题 回复主题
  • 5233阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Typecho 前台无限制getshell漏洞

级别: 论坛版主
发帖
227
云币
443
2017年10月25日,阿里安全情报中心监测到国内博客软件Typecho存在反序列化导致任意代码执行漏洞,攻击者可以利用该漏洞无限制执行代码,获取webshell,存在高安全风险。 ,^1 #Uz8  
j-aTpN  
pIrL7Pb0  
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。 !+Cc^{  
具体详情如下:                                                                                                                                            
漏洞编号: ,,j >2Ts  
暂无 }|/<!l+;$  
漏洞名称: 3`3my=   
Typecho 前台无限制getshell漏洞 oP 7)  
官方评级: LD WYFOGQ  
高危 u9q#L.Ij  
漏洞描述: (@ BB @G  
通过利用install.php页面,直接远程构造恶意请求包,实现远程任意代码执行,对业务造成严重的安全风险。 7/]Ra  
漏洞利用条件和方式: 6L~5qbQ  
通过PoC直接远程利用。 x^`P[>  
PoC状态: &-IkM%_A9  
目前PoC已公开 asvM/ 9  
漏洞影响范围: C@XnV=J  
Typecho <0.9版本 1'&HmBfcb  
漏洞检测: #Wl9[W/4  
开发人员检查是否使用了受影响版本范围内的Typecho,并检查install目录是否存在。 ER!s  
漏洞修复建议(或缓解措施): 1,P2}mYv  
  • 紧急规避措施:删除install.php文件;
  • 及时同步官方分支,更新代码到最新版本;
  • 官方已经发布了正式稳定版1.1版本修改问题,建议您及时升级到最新版本,下载链接:http://typecho.org/download
yJ; ;&  
情报来源: m=iKu(2xRq  
  • https://www.t00ls.net/articles-42355.html
_!Z}HCk  
!8 l &%  
BG-nf1K(  
{9F}2 SJ  
;;^?vS  
<pT1p4T<  
44B9JA7u  
|BbrB[+ v[  
rc{F17~vX  
k^UrFl  
ZOJ7 ^g  
YpSK |(  
Y$hLsM\%  
9M[   
R|O^7o  
l2!ztK1^  
B]#iZ,Tp  
Jj1lAg 0  
]MMXpj,9h  
$L]E< gWrP  
`g}en%5b\  
gln X C  
8;,(D# p  
fdKTj =4  
-A"0mS8L  
6bpO#&T  
AT^MQvn  
TGG-rA6@Lx  
{*qz<U >  
"4QD\k5  
G"p rq&  
9>L{K   
% ELf 7~  
|0N1]Hf   
==W] 1@s  
1GgG9I  
J*f..:m  
S6|L !pO  
0p \,}t\E  
ca!x{,Cvnj  
mr#XN&e  
rWzO> v  
eRwm>l"fVV  
@I0[B<,:G  
|^kfa_d  
GH6ozWA  
f5|Ew&1EP  
]g0\3A  
[ 此帖被正禾在2017-10-30 10:54重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 21 - 8 = ?
上一个 下一个