0

Typecho 1.2 评论存在XSS漏洞

cjtgzikhem
2023-4-1 664

Typecho1.2评论网址处存在XSS漏洞,我已经被攻击,如果被插入脚本,及时恢复到最近一次备份或检查其他文件是否存在shell。我的这个站点已被插入js脚本,粗略看了下脚本,一个是发送cookie,另一个是往默认模板的404页面插入一句话木马。目前typecho没发布修复教程,但是github仓库已更新修复代码,预发布了1.2.1-rc版本。

防护

关闭评论

目前没有看到官方没有发布修复教程,我还是建议暂时关闭评论功能,如果不想关闭教程可以看看方法二。

修改文件

根据Typecho仓库的提交历史,可以查看到 b989459 提交内容。

修改 var/Widget/Base/Comments.php 文件第271行

 
  1. echo '<a href="' . Common::safeUrl($this->url) . '"'
 

修改 var/Widget/Feedback.php 文件第209行和308行

 
  1. //209行
  2. $comment['url'] = $this->request->filter('trim', 'url')->url;
  3. //308行
  4. $trackback['url'] = $this->request->filter('trim', 'url')->url;
 
最新回复 (0)

    暂无评论

请先登录后发表评论!

返回
请先登录后发表评论!