Typecho <= 1.2.0版本出现漏洞！可直接利用的存储型XSS漏洞可以轻松拿shell

此漏洞现有公开的POC两个功能：

1. 获取cookie
2. 404.php写入一句话shell
   不像之前的两个后台XSS，这个漏洞危险性很高，可以直接前台拿shell，而且有人给出了具体POC，可以404页面挂一句话木马，我测试了下漏洞可以复现。
   这里就不放出具体方法，防止有人恶意测试

强烈建立更新

这是一个很严重的漏洞，当前最新版1.2.1-rc已经修复此漏洞，大家应该尽快更新到最新版本。
另外建议应安装或者启用WAF防火墙这样可以避免大部分扫描器扫描和过滤XSS、SQL等安全问题。

若不方便上GitHub，我已经将typecho1.2.1-rc版本下载了，下方下载。