品牌/运营/管理/IT综合咨询
IT/互联网+解决方案
业务及咨询:13919290690
售后支持:18693088690
info@radartek.com
support@radartek.com

WordPress IP验证不当漏洞修复

睿达科网络提供:兰州网站建设/兰州网站制作/兰州网站设计/微信开发/SEO/代运营等服务…… 浏览更多产品服务

漏洞简介

wordpress核心程序 /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。

WordPress IP验证不当漏洞修复解决方案

方案一:手动修复http.php文件;

在网站核心程序目录中找到wp-includes/http.php文件,编辑http.php文件。
查找(在文件533行附近)

$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );

替换成

if ( isset( $parsed_home['host'] ) ) { $same_host = ( strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' === strtolower( $parsed_url['host'] ) ); } else { $same_host = false; };

查找

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

替换成

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]

如果发现上面这行代码跟源文件中的一样,则不用修改了,最新版 WordPress 已经是这样的代码了。

最后保存上传覆盖该文件即可。

方案二:阿里云云盾企业版代码修复方案;

阿里云云盾企业版可使用阿里云自研的补丁程序进行修复,但建议根据自己网站情况做细致检查。