#修复# WordPress中wp_http_validate_url漏洞

每次登陆阿里云后台总会提示有这个来自/wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当这样的警示,之前也没管,不过出于安全的考虑还是修复一下。

手动修复Wordpress中wp_http_validate_url函数漏洞

漏洞描述:

wordpress IP验证不当漏洞: wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。

修复方案

(1)使用阿里云云盾安骑士修复,需购买企业版,费用不低,60元/月
(2)手动修复(穷人的选择)

手动修复方法(开始前注意备份文件)

修改/wp-includes/http.php文件(红色为增添的内容)

1)将

$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );

替换成

$same_host = (strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' == strtolower($parsed_url['host']));

2)将

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

替换成

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 === $parts[0]

点击“验证”,可验证漏洞修复情况(稍微等一会儿),刷新一下阿里云的后台,发现漏洞警示消失了

本文修复方案来源于网络,但因转载关系复杂,本文未列出引用链接,欢迎原始作者前来认领

猜你 喜欢

关于作者: 微魔

小微魔,大智慧!

发表评论

电子邮件地址不会被公开。 必填项已用*标注