wordpress IP验证不当漏洞/wp-includes/http.php

原创 小猫SEO优化  2018-08-07 22:32  阅读 392 次 评论 0 条
作为一名网站建设人员,经常检测服务器漏洞关于CMS漏洞,留意互联网安全发展趋势是每个网站建设人员的必备技能,如同往常一样打开服务器后台发现阿里云提示了一条关于wordpressIP验证漏洞,仔细看了下具体的描述是这样的,而且还提示企业版本可以防护,升级云盾专业版,算了,既然身为网站建设人员就要用自己的能力去修复,那么我们西安看看关于wordpress验证漏洞的描述。
wordpress IP验证不当漏洞

wordpress IP验证不当漏洞

标题: wordpress IP验证不当漏洞

简介:

wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。
解决方案:方案一:使用云盾自研补丁进行一键修复;
方案二:更新该软件到官方最新版本或寻求该软件提供商的帮助。
【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】好了解wordpressIP验证不当漏洞我们就开始修复。

第一处修改wordpress IP验证不当漏洞 找到/wp-includes/http.php这个文件,大概在文件532行,修改文件前记得先备份http.php原文件,这是个好习惯:

wordpressip验证不当漏洞

wordpressip验证不当漏洞

这处代码我也给出来这样好给大家复制粘贴:

$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
改成
if ( isset( $parsed_home['host'] ) ) { $same_host = ( strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' === strtolower( $parsed_url['host'] ) ); } else { $same_host = false; } ;

接下来第二处修改wordpress IP验证不当漏洞在文件549行附件修改:

wordpress IP验证不当漏洞

wordpress IP验证不当漏洞

wordpress IP验证不当漏洞代码如下:

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]
修改为:
if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]

然后重新更新下http.php文件阿里云更新下,验证阿里云漏洞消失,wordpress /wp-includes/http.php  wordpress IP验证不当漏洞,这样作为网站建设的我就完成了WordpressIP不当漏洞修复。

本文地址:http://www.xmaoseo.com/web-construction/309.html
关注我们:请关注一下我们的微信公众号:扫描二维码SEO自学教程网_网站优化推广技术培训的公众号,公众号:TopHtml
版权声明:本文为原创文章,版权归 小猫SEO优化 所有,欢迎分享本文,转载请保留出处!

发表评论


表情