释放双眼,带上耳机,听听看~!
2017年10月25日,阿里云安全情报中心监测到国内博客软件Typecho存在前台无限制getshell漏洞,攻击者可以直接远程利用该漏洞无限制执行代码,获取webshell,从而导致黑客获取网站权限,目前该漏洞利用PoC已经公开,漏洞风险为高危。
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。
漏洞影响范围:
Typecho <0.9版本
漏洞检测:
开发人员检查是否使用了受影响版本范围内的Typecho,并检查install目录是否存在。
漏洞修复建议(或缓解措施):
-
1.紧急规避措施:删除install.php文件;
-
2.及时同步官方分支,更新代码到最新版本。
更多详情请点击
内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。
