最近整天收到阿里云的短息通知,实在是烦了。今天就动手处理下,要么升级wordpress,要么就手动修复漏洞。
手动修复“存在wordpress IP验证不当漏洞”这个漏洞其实并不难,方法如下:
描述
wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF
修复方法
找到/wp-includes/http.php这个文件,大概在文件465行:
$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
修改为:
if ( isset( $parsed_home['host'] ) ) {
$same_host = ( strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' === strtolower( $parsed_url['host'] ) );
} else {
$same_host = false;
}
修改保存上传覆盖后即可成功修复IP验证不当漏洞。
特别提示
修复后,一定要到阿里云后台“重新验证”或“忽略”漏洞,否则还是会一直发送信息的!
本文由 Qyet 创作,采用 知识共享署名4.0 国际许可协议进行许可
本站文章除注明转载/出处外,均为本站原创或翻译,转载前请务必署名
最后编辑时间为: Jan 12, 2020 at 05:17 pm
