阿里云提示 “wordpress IP验证不当漏洞” 的修复方法

本人在ECS部署的WordPress博客程序,已经妥妥地运行一星期,真心感谢阿里云安全中心,提示各种漏洞修复,今天又提示“wordpress IP验证不当漏洞”。应该所有的WordPress都存在这个漏洞的,强烈建议大家修复。

wordpress IP验证不当漏洞简介

wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。

修复方案

本人WordPress版本为5.2.1,打开 /wp-includs/http.php,找到546行,代码如下:

$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );

将它注释或删除,并改成如下代码:

$same_host = (strtolower($parsed_home['host']) === strtolower($parsed_url['host']) || 'localhost' === strtolower($parsed_url['host']));

继续往下至564行,代码如下:

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

将它注释或删除,并改成如下代码:

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]

保存后再验证,则提示漏洞已失效,恭喜WordPress的安全更上一层楼。

赞 (0) 打赏

评论 0

评论前必须登录!

登陆 注册

感谢您的支持与帮助

支付宝扫一扫打赏

微信扫一扫打赏