阿里云
发表主题 回复主题
  • 5983阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Typecho 前台无限制getshell漏洞

级别: 论坛版主
发帖
234
云币
459
2017年10月25日,阿里安全情报中心监测到国内博客软件Typecho存在反序列化导致任意代码执行漏洞,攻击者可以利用该漏洞无限制执行代码,获取webshell,存在高安全风险。 }A7 ] bd  
xx[l#+:c  
}[By N).  
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。 J-~:W~Qx4N  
具体详情如下:                                                                                                                                            
漏洞编号: ]hY4 MS  
暂无 #lx(F3  
漏洞名称: 1K{hj%  
Typecho 前台无限制getshell漏洞 m2to94yh  
官方评级: zR }vw{  
高危 qk!,:T  
漏洞描述: WVh]<?GWXk  
通过利用install.php页面,直接远程构造恶意请求包,实现远程任意代码执行,对业务造成严重的安全风险。 :n$?wp  
漏洞利用条件和方式: .&n;S';"  
通过PoC直接远程利用。 uS{WeL6%  
PoC状态: ;C+ _KS  
目前PoC已公开 8|IlJiJ~v  
漏洞影响范围: Trml?zexD  
Typecho <0.9版本 qUG)+~g`  
漏洞检测: {3\{aZ8)  
开发人员检查是否使用了受影响版本范围内的Typecho,并检查install目录是否存在。 ag"Nf-o/Y  
漏洞修复建议(或缓解措施): Z`{GjV3%wH  
  • 紧急规避措施:删除install.php文件;
  • 及时同步官方分支,更新代码到最新版本;
  • 官方已经发布了正式稳定版1.1版本修改问题,建议您及时升级到最新版本,下载链接:http://typecho.org/download
^a;412  
情报来源: :.W</o~\s  
  • https://www.t00ls.net/articles-42355.html
rJc=&'{&)N  
`:EU~4s\  
87:V-*8  
pL{:8Ed  
ug9]^p/)^  
8POLp9>X  
0tP{K  
d8/KTl  
5Q@4@b{C  
l=^^l`  
{@T<eb$d  
7>yb8/J  
hquN+eIDH  
OJPi*i5*  
j+NpQ}t:  
%scQP{%aD  
kaZ_ra;<  
kDK0L3}nr]  
Y EhPAQNj  
rb<9/z5-  
6B`,^8Lp  
YfU6 mQ  
=FXq=x%9+  
!yf7y/qY  
d/xGo[?$  
x_.}C%  
4W36VtQ@E  
u eV,p?Wo  
x @uowx_&m  
ed4`n!3  
be:=-B7!  
EF[I@voc  
 eAbp5}B  
2N}h<Yd 9  
g WHjI3;  
uw9w{3]0f  
'=]|"   
Cw]bhaG g  
XT~]pOE;D  
&L4>w.b"N  
8Xk,Nbcqt  
@8'LI8 \/  
PBp+(o-  
x]<0Kq9K  
Q804_F F#  
A!fRpN  
^DOQ+  
5qQ\H}  
[ 此帖被正禾在2017-10-30 10:54重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个