- A+
所属分类:网站建设
前几天阿里云的后台提示wordpress-http.php-vul漏洞,一直没有在意,今天抽出了点时间,通过度娘寻找答案,修复一下!
漏洞描述是:wordpress/wp-incluees/http.php文件中的wp_http_validate_url函数对输入ip验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。
修复方法:1.后台安骑士付费自动修复 2.自动动手手动修复
能省钱解决的事情,还是自己动手!度娘给与的解决方法如下:
1、在路径:/wp-includes/http.php找到 http.php 文件,用 Notepad++ 或其他编辑软件打开(修改之前记得先备份http.php原文件),大概在533行(不同的WordPress版本可能行数不同,你可以查找关键词进行查找):
- $same_host = strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] );
修改为:
- $same_host = ( strtolower( $parsed_home[‘host’] ) === strtolower( $parsed_url[‘host’] ) || ‘localhost’ == strtolower($parsed_url[‘host’]));
2.在 http.php 文件的549行:
- if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]
修改为:
- if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]
漏洞修复完成
修改完以上内容,然后再到阿里云盾控制台重新验证一下漏洞,就会发现漏洞已经不存在了。