Typecho 发布 1.2.1 版本 修复 XSS 漏洞

Typecho 博客程序爆出存在严重的存储型 XSS 漏洞，受影响范围为 Typecho 1.2.0 - 1.2.1 rc 版本。如果用户在评论区网址或邮箱字段插入恶意 JS 脚本，提交脚本后存储数据库，管理员访问审核评论时就会执行脚本：一是获取 Cookie，另一是通过 404.php 写入一句话木马。

Typecho 1.2.1 安全更新日志

这个漏洞危险系数很高，可以直接前台拿 Shell。Typecho 经过紧急排查，修复漏洞，发布安全更新 Typecho 1.2.1 正式版，建议所有用户升级。

XSS 漏洞

主要是 #1535, #1539, #1545, #1560 这几个 ISSUE 提到的错误。由于参数和对提交数据的过滤不严，造成了站点会被攻击者利用的漏洞。此次修复后你可以安全地打开已经被攻击者污染的评论数据，当然我们建议你删除它们。

对 MySQL 的 SSL 支持

在某些运行环境中你可能需要通过 SSL 来连接 MySQL 数据库，目前我们已经加上了这一支持。

更多的小更新

对 PHP 8.1 的更多支持 其它 Bug 修复

感谢各位贡献者的无私工作。具体更新请见：https://github.com/typecho/typecho/releases/tag/v1.2.1

Typecho 下载 & 博客升级步骤

升级 Typecho 不难，按照下面步骤完成即可。

1、打开官网 https://typecho.org/download，下载最新稳定版本 TP。

2、删除服务器上的旧文件，请在服务器上删除如下目录和文件：

/admin/
/var/
/index.php
/install.php

注意，请千万不要删除/usr/目录，因为这个目录包含了你的主题，插件和上传的文件！！！

3、把前面下载的新版 TP 解压，把对应新文件上传：

/admin/
/var/
/index.php
/install.php

4、一般直接访问 admin 页面，按提示完成升级即可。如果在升级完成后，进入首页出现 500 或其他错误，请进入 admin 页面禁用所有的插件，并启用默认模板。如果正常，再逐步排查插件或模板存在的问题。

Typecho 下载：Github（网盘、百度 提取码: yejc）

阿里云盘：https://www.aliyundrive.com/s/AZxbkBe2912 提取码: s68l

感谢支持 Thanks！解压及网盘密码 1024