谷姐:我们都是谷歌迷
We are all Google fans

Typecho 低于1.2.1的有风险会被XSS攻击,建议升级-dqjdda

Rate this post

我站点就遇到了,还好备份了一个月的记录。

复现:https://github.com/typecho/typecho/issues/1545

通过评论,提交一个脚本

进入首页后,会重定向到此网址。至于这个网址是不是受害者不得而知。

建议有时间的都去更新到 1.2.1

https://github.com/typecho/typecho/releases/tag/v1.2.1-rc

热议
2楼 lokinT 昨天21:00

感谢分享,已更新

3楼 他是传说 昨天21:05

最新稳定版不是1.2.0吗,1.2.1在哪里啊

4楼 aa8 昨天21:06

**真是**

5楼 MXS 昨天21:06

最新稳定版不是1.2.0吗,1.2.1在哪里啊

https://github.com/typecho/typecho/releases/tag/v1.2.1-rc

6楼 超级无敌小马甲 昨天21:06

v1.2.1-rc
这个是测试版本还是什么?
话说typecho是挺好的,就是版本总部第一时间同步,官网的链接永远是和Github不同步的
最重要的一点typecho无法向下兼容,导致新版本里很多主题 插件无法使用

7楼 他是传说 昨天21:13

https://github.com/typecho/typecho/releases/tag/v1.2.1-rc

RC是测试版本吧?

8楼 dqjdda 昨天21:14

v1.2.1-rc
这个是测试版本还是什么?
话说typecho是挺好的,就是版本总部第一时间同步,官网的链接永远是 ...

正式版本中的候选版

9楼 hacn 昨天21:21

0ip无所谓 而且没开评论

10楼 poly 昨天21:42

目前typecho 最新正式版本(1.2)被发现评论区域填写url处存在xss风险,简单来说,恶意用户可以在url中输入js代码,等管理员访问博客后台评论管理的时候就会执行js代码。 【修复方法】: 按照 该地址 中的文件变更对typecho 源代码对应的文件内容进行修改。

12楼 dqjdda 昨天21:53

关闭评论可以解决吗

应该可以

13楼 rem 昨天22:00

没开评论 应该没问题吧

14楼 wutiao 昨天22:01

应该可以

<?php /* $this->need('comments.php');*/ ?>
直接进post把comments.php注释掉

15楼 白小姐 昨天22:11

是不是只有1.2.0才有这个问题。。

目前低于这个版本

16楼 圣如下花 昨天22:52

宝塔防火墙能拦住吗

17楼 acm 昨天22:57

我记得这是半个月前的吧

18楼 hardwar 8小时前

把评论关了 秉持着能跑起来就不要动它的原则 鬼知道升级又会踩什么坑

19楼 zkx 8小时前

https://github.com/typecho/typecho/commit/b989459d87df9cf0c50b010faf6123eea8c5314b

不用升级,对比改下文件就行了。

20楼 htazq 7小时前

感谢分享

申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。

未经谷姐允许不得转载:谷姐靓号网 » Typecho 低于1.2.1的有风险会被XSS攻击,建议升级-dqjdda
分享到: 生成海报

热门文章

评论 抢沙发

评论前必须登录!

立即登录   注册

买Google Voice认准【谷姐靓号网】

Google Voice靓号列表Google Voice自助购买
切换注册

登录

忘记密码 ?

切换登录

注册

我们将发送一封验证邮件至你的邮箱, 请正确填写以完成账号注册和激活