wordpress-http.php-vul漏洞修复

  • A+
所属分类:网站建设

前几天阿里云的后台提示wordpress-http.php-vul漏洞,一直没有在意,今天抽出了点时间,通过度娘寻找答案,修复一下!

漏洞描述是:wordpress/wp-incluees/http.php文件中的wp_http_validate_url函数对输入ip验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。

修复方法:1.后台安骑士付费自动修复 2.自动动手手动修复

能省钱解决的事情,还是自己动手!度娘给与的解决方法如下:

1、在路径:/wp-includes/http.php找到 http.php 文件,用 Notepad++ 或其他编辑软件打开(修改之前记得先备份http.php原文件),大概在533行(不同的WordPress版本可能行数不同,你可以查找关键词进行查找):

  1. $same_host = strtolower$parsed_home[‘host’] ) === strtolower$parsed_url[‘host’] );  

修改为:

  1. $same_host = (  strtolower$parsed_home[‘host’] ) === strtolower$parsed_url[‘host’] ) || ‘localhost’ == strtolower($parsed_url[‘host’]));  

2.在 http.php 文件的549行:

  1. if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]  

修改为:

  1. if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]  

漏洞修复完成

修改完以上内容,然后再到阿里云盾控制台重新验证一下漏洞,就会发现漏洞已经不存在了。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: