正确的修复wordpress IP验证不当漏洞

  • A+
所属分类:编程语言

阿里云服务器中安装了wordpress4.9.8版本的博客后,阿里云盾 ● 态势感知却出现了主机漏洞的提示,内容如下:

wordpress IP验证不当漏洞
简介:
wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。

解决方案:方案一:使用云盾自研补丁进行一键修复;

方案二:更新该软件到官方最新版本或寻求该软件提供商的帮助。
【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】

wordpress IP验证不当漏洞修复方案

正确的修复方案是将wordpress /wp-includes/http.php文件中第540行里面的

  1. preg_match('#^(([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d)\.){3}([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d)$#', $host)

修改为:

  1. preg_match('#^(([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d|0+\d+)\.){3}([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d)$#', $host)

另外,网上有如下一种修复方法,这是不对的,只进行了域名验证,并没有进行ip验证,无法真正的修复wordpress IP验证不当漏洞。

 

weinxin
我的微信公众号
爱真理,得永生!          爱在灵灵久博客,网罗天下,福利大家!

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: