• 欢迎访问南思工作室官方站点.
  • 文章内容如有失效请文章下留言,我们看到后会第一时间处理。
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏南思工作室吧。
  • 图片服务器和主服务器都挂了CDN,如有异常,请留言,我们会尽快处理。

阿里云提示wordpress IP验证不当漏洞

服务器 nansi 3个月前 (06-22) 133次浏览 0个评论
文章目录[隐藏]

前言

最近增加了一台阿里的服务器,用于 wordpress 备用节点,可是最近总是收到阿里云邮件,说我的 wordpress IP 验证不当漏洞,一气之下,卸载了阿里云服务器监控程序,(如何卸载阿里云服务器监控程序:点我查看)确实不烦了,不过还是很好奇,这是个啥漏洞,网上找了很多资料,找到了修复办法。

漏洞详情

wordpress IP 验证不当漏洞

7292650

wp-includes/http.php

云盾自研

wordpress /wp-includes/http.php 文件中的 wp_http_validate_url 函数对输入 IP 验证不当,导致黑客可构造类似于 012.10.10.10 这样的畸形 IP 绕过验证,进行 SSRF。【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了改漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示

修复办法

找到 wp-includes/http.php 这个文件,在文件的 526 行(不同的 WordPress 版本行数不同,可以搜索下面代码来找出这个位置)附近找到:

$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );

把上面这行代码删除,然后添加下面代码。

if (isset($parsed_home['host'])) {
    $same_host = (strtolower($parsed_home['host']) === strtolower($parsed_url['host']) || 'localhost' === strtolower($parsed_url['host']));} else {
    $same_host = false;};

如果你的 WordPress 版本不是最新版,在 541 行左右找以下代码(最新版 WordPress 已经不需要修改这一项了。)

if ( 127 === $parts[0] || 10 === $parts[0]

替换成

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]

如果发现上面这行代码跟源文件中的一样,则不用修改了,最新版 WordPress 已经是这样的代码了。

修改完之后,登录阿里云,打开云盾服务器安全,找到这个漏洞,在后面点击验证一下,验证通过之后,就不提示这个漏洞了。


南思工作室 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:阿里云提示 wordpress IP 验证不当漏洞
免责声明:本站一切资源仅用作交流学习,请勿用作商业或违法行为!如造成任何后果,本站概不负责!
喜欢 (8)
关于作者:
南思工作室管理员
发表我的评论
取消评论
表情 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址