最近,Typecho在GitHub发布了1.2.1版本,主要是为修补一些bug漏洞而推出。这次更新的重点是解决通过评论利用404错误页面插入XSS代码进行攻击或者前后台Shell提权的问题。
对于不了解的用户来说,Typecho是一款基于PHP和MySQL的开源博客系统,用户可以使用它搭建自己的个人博客。然而,因为存在安全漏洞,黑客可以通过评论区中的注入攻击,导致系统遭到入侵。
具体来说,黑客可以通过注入特殊的XSS代码,来控制404错误页面,进而实现对系统文件的修改、删除或上传,进而造成前后台Shell提权等恶意行为。而此次更新主要就是修复了这个漏洞。
GitHub地址:
更新教程
1.只需要选择: var 、 admin 、 install 、 install.php 、 index.php 这5个上传即可,直接覆盖到程序的根目录,覆盖完成之后我们进行下一步。
2.登录你的 http://域名/admin 后台地址,进去之后会检测版本,然后会提示新版,点击升级按钮或者更新按钮,哪里提示点哪里,然后就完成了本次升级了。
3.升级之后删掉 install文件夹 和 install.php 文件就可以啦
