WordPress IP验证不当漏洞修复

路飞
路飞
路飞
43
文章
14
评论
2018年9月30日16:37:05 3 1,247 762字阅读2分32秒

阿里云提示:
wordpress
/wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。

解决方案:
方案一:使用云盾自研补丁进行一键修复;
方案二:更新该软件到官方最新版本或寻求该软件提供商的帮助。
【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】

具体解决步骤:

查找网站WEB目录,找到wordpress安装目录下的wp-includes/http.php文件,编辑http.php (修改前注意先备份)

  • 查找(530行左右)
$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
  • 替换成
$same_host = ( strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' === strtolower( $parsed_url['host'] ) );
  • 查找(549行左右)
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]
  • 替换成
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]

最终代码截图:

最后保存退出即可修复。

接着去阿里云控制台,点击验证,稍等片刻,再去刷新漏洞列表提示就没有了。

weinxin
微信公众号
分享IT信息技术、北海生活的网站。提供北海本地化的信息技术服务。
路飞
  • 本文由 发表于 2018年9月30日16:37:05
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接
关于EL表达式与thymeleaf 信息技术

关于EL表达式与thymeleaf

前言 很久之前,也许你在JSP代码中会遇到类似${person.name}、${person}这样的代码,这样的代码被称之为EL表达式,看起来像不像现在普遍使用的模板引擎thymeleaf里的用法? ...
Windows 10无法删除恢复分区 信息技术

Windows 10无法删除恢复分区

1  前言 Windows 10安装的时候,默认会创建一些类似【恢复】、【系统保留】分区,强迫症促使我想去删除它们,一般情况,通过【计算机管理】中的【磁盘管理】可以操作,但是你会发现根本没有删除选项,...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

评论:3   其中:访客  3   博主  0
    • avatar 搬瓦工 0

      朋友 交换链接吗

      • avatar 博客大全 1

        WordPress福利!