阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 7264阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Typecho 前台无限制getshell漏洞

级别: 论坛版主
发帖
241
云币
478
2017年10月25日,阿里安全情报中心监测到国内博客软件Typecho存在反序列化导致任意代码执行漏洞,攻击者可以利用该漏洞无限制执行代码,获取webshell,存在高安全风险。 DKfpap}8u  
_h ^.`Tz,  
$}tF66d  
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。 t adeG  
具体详情如下:                                                                                                                                            
漏洞编号: %<DdX*Qp  
暂无 lmHQ"z 3G  
漏洞名称: H ;=^ W  
Typecho 前台无限制getshell漏洞 yOEy3d=*  
官方评级: EoPvF`T  
高危 td%J.&K_*'  
漏洞描述: SS%Bde&<{  
通过利用install.php页面,直接远程构造恶意请求包,实现远程任意代码执行,对业务造成严重的安全风险。 9FSa=<0wE  
漏洞利用条件和方式: kJuG haO  
通过PoC直接远程利用。 R7(XDX=[ s  
PoC状态: #$S~QS.g  
目前PoC已公开 MMKN^a"GA  
漏洞影响范围: "Y:>^F;  
Typecho <0.9版本 };rp25i  
漏洞检测: Ln&~t(7  
开发人员检查是否使用了受影响版本范围内的Typecho,并检查install目录是否存在。 &_:9.I 1  
漏洞修复建议(或缓解措施): ;6hoG(3 +  
  • 紧急规避措施:删除install.php文件;
  • 及时同步官方分支,更新代码到最新版本;
  • 官方已经发布了正式稳定版1.1版本修改问题,建议您及时升级到最新版本,下载链接:http://typecho.org/download
HRE?uBkjf  
情报来源: &AxtSIpucP  
  • https://www.t00ls.net/articles-42355.html
Brs6RkRf  
"ADI .  
08jk~$%  
jRiMWolLv  
z@e(y@  
!l#aq\:}~e  
xF3FY0U[  
6;Z`9PGp  
_Cz98VqRk  
&8i$`6wY  
FXT^r3  
.zdaY, U  
q M_c-^F  
-?#iPvk6  
LyvR].p=5*  
\41/84BA  
2>X yrG  
8*b{8%<K  
-`Z!p  
z0\ $# r^I  
xPm{'J+b~  
:!t4.ko  
:D3:`P>,c  
& .1-6  
FsOJmWZ  
Q;>Yk_(S  
arR<!y7  
PhuHfw4$y,  
)skpf%g  
V[%IU'{:  
)d3C1Pd>  
E71H=C 4  
k1g-%DB  
LrO[l0#'Q  
E83$(6z  
U9PI#TX &O  
32 j){[PL3  
KY< $+/B!  
X7K{P_5l  
,if~%'9j  
h5l_/v d  
zobFUFx  
 y"Fu=  
z7?SuJ  
p"6[S  
7~1Fy{tc  
$_'<kH-eP  
]==7P;_-  
[ 此帖被正禾在2017-10-30 10:54重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 93 + 0 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)