阿里云服务器 存在wordpress IP验证不当漏洞

in Wordpress with 0 comment

最近整天收到阿里云的短息通知,实在是烦了。今天就动手处理下,要么升级wordpress,要么就手动修复漏洞。
手动修复“存在wordpress IP验证不当漏洞”这个漏洞其实并不难,方法如下:

描述

wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF

修复方法

找到/wp-includes/http.php这个文件,大概在文件465行:

$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );

修改为:

if ( isset( $parsed_home['host'] ) ) {
    $same_host = ( strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' === strtolower( $parsed_url['host'] ) );
} else {
    $same_host = false;
}

WX20170703-151215@2x.png
修改保存上传覆盖后即可成功修复IP验证不当漏洞。

特别提示

修复后,一定要到阿里云后台“重新验证”或“忽略”漏洞,否则还是会一直发送信息的!

Responses
2016lengh.gif2016kun.gif2016db.gif2016baojin.gif2016jk.gif2016kb.gif2016qq.gif2016zj.gif2016qiao.gif2016am.gif2016kk.gif2016qd.gif2016gg.gif2016lh.gif2016wq.gif2016gz.gif2016zhh.gif2016ll.gif2016shuai.gif2016kel.gif2016zk.gif