Wordpress中http.php文件wp_http_validate_url函数对输入IP验证不当漏洞
wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF。
修复方法:编辑wp-includes目录下的http.php,找到如下代码,大约在第533行:
$same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
替换成以下代码:
$same_host = (strtolower($parsed_home['host']) === strtolower($parsed_url['host']) || 'localhost' === strtolower($parsed_url['host']));
保存覆盖即可。
- dedecms留言板edit.inc.php注入漏洞修复方法
- dedecms中的media_add.php存在后台文件任意上传漏洞的修复方法
- dedecms中的uploadsafe.inc.php存在上传漏洞的修复方法
- dedecms中的article_add.php存在cookies泄漏导致SQL漏洞的修复方法
- dedecms会员中心pm.php注入漏洞修复方法
- dedecms会员中心mtypes.php注入漏洞修复方法
- wordpress的post.php任意文件删除漏洞临时修复方法
- WordPress发布文章后实时自动进行百度主动推送
- WordPress自动重命名媒体库图片文件名
- DedeCMS v5.7 注册用户任意文件删除漏洞archives_check_edit.php漏洞修复
本文标题:《Wordpress中http.php文件wp_http_validate_url函数对输入IP验证不当漏洞》
网址:https://zhangwenbao.com/http-php-file-wp_http_validate_url-function-in-wordpress-to-verify-improper-loopholes-in-input-ip.html
