2017年10月25日，阿里云安全情报中心监测到国内博客软件Typecho存在前台无限制getshell漏洞，攻击者可以直接远程利用该漏洞无限制执行代码，获取webshell，从而导致黑客获取网站权限，目前该漏洞利用PoC已经公开，漏洞风险为高危。 
 
 
Typecho是一个简单，轻巧的博客程序。基于PHP，使用多种数据库（Mysql，PostgreSQL，SQLite）储存数据。在GPL Version 2许可证下发行，是一个开源的程序，目前使用SVN来做版本管理。 

漏洞影响范围:  
Typecho <0.9版本 
 

漏洞检测:  
开发人员检查是否使用了受影响版本范围内的Typecho，并检查install目录是否存在。 
 

漏洞修复建议(或缓解措施):  

• 1.紧急规避措施:删除install.php文件；

• 2.及时同步官方分支,更新代码到最新版本。

更多详情请点击

如有任何问题，可随时通过工单或服务电话95187联系反馈。

阿里云安全团队