WordPress IP验证不当漏洞修复

WordPress IP验证不当漏洞问题,如果想手动修复的话可以尝试下面的方法。 记得要先备份下,再做修改!养成一个良好的习惯! 漏洞描述:wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。

修复方案:找到/wp-includes/http.php这个文件,在文件的465行附近找到:

$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ); 

改成:

if (isset($parsed_home['host'])) {
$same_host = (strtolower($parsed_home['host']) === strtolower($parsed_url['host']) || 'localhost' === strtolower($parsed_url['host']));
} else {
$same_host = false;
}; 

在文件的 478行左右找到

if ( 127 === $parts[0] || 10 === $parts[0] 

改成:

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] 

如果发现上面这行代码跟源文件中的一样,则不用修改了,最新版 WordPress 已经是这样的代码了。。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏源码之家

WDCP 504 MySQL server has gone away 解决方法

15820
来自专栏Python中文社区

Python爬虫抓取收集考试大纲

專 欄 ❈ Garfield_Liang,Python中文社区专栏作者。 博客地址:http://www.jianshu.com/u/cac1d39abfa9 ...

260100
来自专栏python小白到大牛

学习Python一个星期用Scrapy爬取天气预报实践一番

写一个真正意义上一个爬虫,并将他爬取到的数据分别保存到txt、json、已经存在的mysql数据库中。

20520
来自专栏Web 开发

NodeJS那些事

下半年做了挺多活动型需求,因为我们业务人力有限,我在业务的策略是不依赖NodeJS。

19500
来自专栏向治洪

React Native运行原理解析

Facebook 于2015年9月15日推出react native for Android 版本, 加上2014年底已经开源的IOS版本,至此RN (reac...

1.1K80
来自专栏狮乐园

高级 Angular 组件模式 (3a)

针对第一个问题,我们使用@ContentChildren装饰器(因为它获取所有的子组件引用),但是它无法解决第二个问题。

10940
来自专栏FreeBuf

软件漏洞分析技巧分享

作者:riusksk【TSRC】 在日常分析软件漏洞时,经常需要耗费比较长的分析时间,少则几小时,多则数天,甚至更久。因此,经常总结一些分析技巧是非常有必要的,...

29490
来自专栏数据小魔方

word多文档合并技巧

今天要跟大家安利一些word多文档合并的技巧! 经常要处理word文档的小伙伴儿们,是不是也遇到过这样的难题。 偶尔要把一大堆的word文本文档,弄到一个文档...

37160
来自专栏Python小屋

Python监视用户计算机桌面窗口焦点的变化情况

代码运行后,可以实时监视用户计算机桌面上拥有焦点的窗口,如果焦点有切换就会给出提示。 from ctypes import * from time import...

46380
来自专栏FreeBuf

玩转Google的XSS游戏

作者 Taskiller Hi基友们,本文主要描述Google前些天发布的关于XSS漏洞游戏的玩法,地址在这里。 https://xss-game.appsp...

269100

扫码关注云+社区

领取腾讯云代金券