WordPress IP验证不当漏洞修复

WordPress IP验证不当漏洞问题,如果想手动修复的话可以尝试下面的方法。 记得要先备份下,再做修改!养成一个良好的习惯! 漏洞描述:wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。

修复方案:找到/wp-includes/http.php这个文件,在文件的465行附近找到:

$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ); 

改成:

if (isset($parsed_home['host'])) {
$same_host = (strtolower($parsed_home['host']) === strtolower($parsed_url['host']) || 'localhost' === strtolower($parsed_url['host']));
} else {
$same_host = false;
}; 

在文件的 478行左右找到

if ( 127 === $parts[0] || 10 === $parts[0] 

改成:

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] 

如果发现上面这行代码跟源文件中的一样,则不用修改了,最新版 WordPress 已经是这样的代码了。。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

发表于

我来说两句

3 条评论
登录 后参与评论

相关文章

来自专栏互联网杂技

只需要一行代码能解决的面试题(-)

<!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title></title> <style>...

3158
来自专栏Bug生活2048

Visual Studio for Mac 2017 使用体验

整个安装过程还是比较简单的,基本在官网安装包(约24MB),双击安装即可在线安装。

1103
来自专栏从流域到海域

《笨办法学Python》 第46课手记

《笨办法学Python》 第46课手记 这节课制作了一个Python的项目骨架,花了我一个晚上和一个早上的时间,原因是我下载的pdf里面只有OX S的命令行,而...

1956
来自专栏黑白安全

如何检测提升网站访问速度

可以百度一下“网站测速”通过工具检测网站所在服务器的响应速度,国内外都可以测试,查看服务器在不同地区的响应速度。

1434
来自专栏青枫的专栏

QT5.10.0安装教程图文教程以及安装成功QT5.10.0后环境配置图文教程

QT是一个非常强大的图形用户界面应用程序开发框架,但是它现在不是很主流。虽然这样但是它的应用领域还是非常的广,特别是应用在嵌入式领域,非常多的公司喜欢用它来做界...

771
来自专栏FreeBuf

巡风风险扫描开源系统的一些演变

同程SRC团队开源巡风资产风险控制系统也有一段时间了,我们临时用它作为一个简单的soc平台来使用,期间也做了一些定制化开发,此次分享,权当做个笔记吧。基于巡风我...

952
来自专栏网站设计制作、数字营销

做网站知识之域名解析易懂介绍

公司在做网站时,在购买了域名、主机空间、及网站源代码和数据库都做好了之后,如果网站备案通过了,就可以做域名解析,如果解析设置没有问题,10分钟之后网站就可正常打...

630
来自专栏tkokof 的技术,小趣及杂念

游戏中的富文本.小续

之前写过一篇游戏中的富文本,简单介绍了一些富文本的相关知识,也开启了自己相关的一个GitHub项目.虽然这个项目进度比较缓慢,但是也算没有停滞,经过近一阶段的持...

381
来自专栏魏艾斯博客www.vpsss.net

Avada 主题导入 improt failed 和 wp_remote_get 怎么解决?

群友搭建 avada 主题的企业站点,导入主题发生以下错误:import failed,演示服务器无法访问,请检查系统状态页面上的 wp_remote_get。

631
来自专栏张善友的专栏

IIS 7.0探索用于 Windows Vista 的 Web 服务器和更多内容

我经常听到 Microsoft 内部和外部的人将新的 IIS 7.0 Web 服务器称为 Microsoft 在过去几年中所进行的最重要的开发工作之一。考虑到 ...

1869

扫码关注云+社区