描述


类型注释 URL 具有存储 XSS 漏洞。
1.使用 xss 有效负载对任何身份的文章发表评论。
2.In 注释中,url参数只过滤开头,没有任何其他保护,直接回显到html。
3.再次访问网站时会触发 XSS。/usr/themes/default/comments.php

详细:Typecho <= 1.2.0 带有存储 XSS 漏洞的 URL URL ·问题 #1546 ·类型町/类型町 ·GitHub

如何解决

方案一:插件

使用一款插件即可解决

下载地址:

[hidecontent type="reply"]

蓝奏云下载

[/hidecontent]

直接启用即可

方案二:更新1.2.1

此bug已在1.2.1修复,直接更新即可

下载地址:

[hidecontent type="reply"]

官方下载蓝奏云下载

[/hidecontent]

最后修改:2023 年 10 月 31 日
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏