保哥笔记

技术性SEO实战经验分享博客

WordPress中http.php文件wp_http_validate_url函数对输入IP验证不当漏洞

作者:
张文保
时间:
浏览 : 725

wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。

修复方法:编辑wp-includes目录下的http.php,找到如下代码,大约在第533行:

$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );

替换成以下代码:

$same_host = (strtolower($parsed_home['host']) === strtolower($parsed_url['host']) || 'localhost' === strtolower($parsed_url['host']));

保存覆盖即可。

相关文章:

  1. DedeCMS v5.7 注册用户任意文件删除漏洞archives_check_edit.php漏洞修复
  2. MySQL创建用户、授权、撤销权限、删除用户命令
  3. 最新版WordPress去除底部版权信息“自豪地采用 WordPress”
  4. WordPress主题Twenty Fifteen首页和列表页由全文显示改为摘要显示的方法
  5. 利用.htaccess设置WordPress防盗链
  6. Nginx反向代理泛目录、目录、整站方法nginx反向代理配置详解
  7. wordpress的post.php任意文件删除漏洞临时修复方法
  8. WordPress在Nginx下开启伪静态后台页面404路径缺少wp-admin问题
  9. ECshop的/admin/shopinfo.php文件SQL注入漏洞修复方法
  10. ECshop的/admin/shophelp.php文件SQL注入漏洞修复方法

Tag标签:

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注