阿里云首页> 安全公告> 【高危漏洞预警】Typecho前台无限制getshell漏洞

【高危漏洞预警】Typecho前台无限制getshell漏洞

2017年10月25日,阿里安全情报中心监测到国内博客软件Typecho存在前台无限制getshell漏洞,攻击者可以直接远程利用该漏洞无限制执行代码,获取webshell,从而导致黑客获取网站权限,目前该漏洞利用PoC已经公开,漏洞风险为高危。 
 
 
Typecho是一个简单,轻巧的博客程序。基于PHP,使用多种数据库(Mysql,PostgreSQL,SQLite)储存数据。在GPL Version 2许可证下发行,是一个开源的程序,目前使用SVN来做版本管理。 

 

漏洞影响范围:  
Typecho <0.9版本 
 

漏洞检测:  
开发人员检查是否使用了受影响版本范围内的Typecho,并检查install目录是否存在。 
 

漏洞修复建议(或缓解措施):  

  • 1.紧急规避措施:删除install.php文件;

  • 2.及时同步官方分支,更新代码到最新版本。

 

更多详情请点击

 

如有任何问题,可随时通过工单或服务电话95187联系反馈。

 

阿里云安全团队