Typecho 友情链接插件 Links 越权漏洞

这几天在各个大佬的博客转悠，发现有个大佬记录并修正了这个插件的BUG，我便转载了这篇文章，原文地址： https://wischu.com/archives/791.html

趁着这几天学校刚开学能有稍微有多一点空余时间，便对博客的插件进行了一次检查维护。当维护到友链插件 Links 时，留意到一个比较奇怪的问题，在插件目录下负责处理后台管理友链请求的 Action.php 之中的全部方法没有做任何权限验证，一开始我以为 Typecho 本身会对这些请求作相应认证工作，但是经过一些测试之后证实这是一个允许越权以及表单欺骗的漏洞。

所有 Links 插件版本为 1.1.1 或之前的用户都可能受到本漏洞影响。

3# 漏洞测试

我找了一个博客使用 Typecho 并且安装了 Links 插件的好友测试了一下，首先打开自己博客后台的友链管理面板，用开发者工具把编辑链接表单 action 属性中的域名改成好友网站的域名，再点击提交。

links.png

执行提交后，虽然会因为未登录而跳转回到对方的博客后台登录页面，但可见页面上方仍然出现了操作成功的提示：“链接 XXX 已经被增加”，证明添加友链的操作已经绕过了权限验证被顺利执行。

修补方法

为了配合 Links 插件原生设定为仅管理员可进入友链管理页面的这一设置，则现在需要把 Action.php 中的 action() 方法也限制为仅管理员可用，具体操作很简单，只需在 action() 方法内的开头位置插入下列代码即可。

$user = Typecho_Widget::widget('Widget_User');
$user->pass('administrator');