阿里云
云栖社区2017年度内容特辑
发表主题 回复主题
  • 4400阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Typecho 前台无限制getshell漏洞

级别: 论坛版主
发帖
216
云币
402
2017年10月25日,阿里安全情报中心监测到国内博客软件Typecho存在反序列化导致任意代码执行漏洞,攻击者可以利用该漏洞无限制执行代码,获取webshell,存在高安全风险。 y=y/d>=w  
P TfN+  
:T8u?@ .  
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。  WMt&8W5  
具体详情如下:                                                                                                                                            
漏洞编号: eA;j/&qH  
暂无 qJe&jLZa  
漏洞名称: ^^20vwq  
Typecho 前台无限制getshell漏洞 /@xr[=L  
官方评级: TPN:cA6[c  
高危 o+PQ;Dl  
漏洞描述: G FSlYG  
通过利用install.php页面,直接远程构造恶意请求包,实现远程任意代码执行,对业务造成严重的安全风险。 HXl r  
漏洞利用条件和方式: 0`aHwt/F  
通过PoC直接远程利用。 sYW1T @  
PoC状态: MZ >0K  
目前PoC已公开 y&KoL\  
漏洞影响范围: $Sc08ro  
Typecho <0.9版本 U>3%!83kF  
漏洞检测: Rz])wBv e  
开发人员检查是否使用了受影响版本范围内的Typecho,并检查install目录是否存在。 Huug_E+  
漏洞修复建议(或缓解措施): O4'kS @  
  • 紧急规避措施:删除install.php文件;
  • 及时同步官方分支,更新代码到最新版本;
  • 官方已经发布了正式稳定版1.1版本修改问题,建议您及时升级到最新版本,下载链接:http://typecho.org/download
W}<M?b4tP  
情报来源: ys~p(  
  • https://www.t00ls.net/articles-42355.html
.lNnY8<  
wAj(v6  
~]i]kU   
l72i e  
c=jTs+h'  
R+@sHsZ@  
f(9$"Vi  
7!` C TE  
eF gb6dSh  
>k&lGF<nl  
D; 35@gtj  
tZc.%TU  
=."WvBKg  
%l]rQjV-  
gen3"\Og{  
!MG>z\:  
 +lf@O&w  
 zxynEdO  
j{Qbzczy,  
yU&g|MV_  
CH R?i1e  
+XaO?F[c  
$BO}D  
t9-\x  
~)\1g0  
xr7<(:d  
N4GIb 6  
]6c2[r?g{  
%;\2QI`R  
 M$-(4 0  
u3?Pp[tM<  
W2o8Fu   
J W yoh|  
9[]"%6  
A"T. nqB^y  
!E.l yz  
7!QXh;u  
H fmMf^c  
BKlc{=  
gt~2Br4  
)^' B:ic  
0Ukl#6  
z(#hL-{c  
"OAZ<  
8J(zWV7 r  
|h~/Zz=  
Oj|p`Dzh  
 ,8 NEnB  
[ 此帖被正禾在2017-10-30 10:54重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个