阿里云警报:wordpress IP验证不当漏洞修复

未知 0条评论
问题: 新开的wordpress阿里云报漏洞: 阿里云服务器最近老是提示wordpress IP验证不当的漏洞。 我记得这个都是几年前的了吧,但现在还是有,就之后还是根据它的提示修复下吧。 具体提示:../wp-includes/http.php文件中的wp_http_validate_url函数对输入IP

问题:

新开的wordpress阿里云报漏洞:

阿里云服务器最近老是提示wordpress IP验证不当的漏洞。

我记得这个都是几年前的了吧,但现在还是有,就之后还是根据它的提示修复下吧。

具体提示:../wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。


解决:

第一步、连接云主机

第二步、备份原http.php

[root@usc wp-includes]# cp http.php http.php_20181019bak


第三步、放心大胆的修改http.php(行数可能不一样,搜索关键字查找行数)

如图所示:原533行为

$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );


修改后:

$same_host = (strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] ) || 'localhost' == strtolower($parsed_url['host']));


还有一处:

原554行为:

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]


修改后:

if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0] || 0 ===$parts[0]

第四步、在阿里云上点击验证,发现没有了


QQ菜鸟网提醒您:本活动还有秒将失效

本文地址:http://www.qqcnw.com/a/2103.html