wordpress IP验证不当漏洞修复

首页 论坛 WordPress讨论区 综合技术 wordpress IP验证不当漏洞修复

该主题包含 1 个回复,有 2 个参与人,并且由  javon5 月, 1 周 前 最后一次更新。

正在查看 2 个帖子 - 1 至 2 (共计 2 条)
  • 作者
    帖子
  • #4931

    管理员
    管理员

    @admin

    最后阿里云后台老提示wordpress IP验证不当漏洞,但开通去盾要¥,嫌烦可以自己手动修复。
    该漏洞类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。
    修复方案:找到/wp-includes/http.php这个文件,在文件的465行附近找到:

    1.  $same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );

    改成:

     Code: arbitrary (select
    1.
    2.
    3.
    4.
    5.

    if (isset($parsed_home['host'])) {
        $same_host = (strtolower($parsed_home['host']) === strtolower($parsed_url['host']) || 'localhost' === strtolower($parsed_url['host']));
    } else {
        $same_host = false;
    };

    在文件的 478行左右找到

    1.  if ( 127 === $parts[0] || 10 === $parts[0]

    改成:

    1.  if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]
    如果在修改的时候发现478该行代码已经是修改过的代码,请忽略。

    登录阿里云帐号,在服务器安全页面点击验证,就可以去除该提示。

    #4932

    javon
    会员

    @javon

    @admin
    谢谢站长

    最新版本已经更新了

正在查看 2 个帖子 - 1 至 2 (共计 2 条)

抱歉,回复评论必需登录。